Ha úgy találja, hogy a jelszó alapú és a kéttényezős hitelesítés megbízhatatlan, fontolja meg hardveralapú hitelesítés beállítását Linuxon a YubiKey használatával.

Nem vagy egyedül, ha aggódsz a hackelés egyre növekvő veszélye miatt. Míg a hitelesítési felszólítások és a 2FA elegendőek a legtöbb potenciális hacker kivédésére, mégis naponta több ezer jogsértés sikerül.

A hitelesítési probléma egyik leggyakrabban hirdetett megoldása a YubiKey. De mi az a YubiKey, és hogyan működik a hardveres hitelesítés? Biztosíthatja Linux PC-jét a YubiKey segítségével?

Miért használja a YubiKey-t hardveres hitelesítéshez?

Számos különböző típusú hitelesítés létezik, beleértve a jelszavakat, az SMS-hitelesítést, sőt hitelesítő alkalmazások, amelyeket telefonjával használhat. Egy kevésbé elterjedt típus a hardveres hitelesítés, amely egy kis beépülő modul használatával hitelesítési tokent küld, amikor a rendszer kéri.

A YubiKeys-nek és más hardveres hitelesítő eszközöknek van néhány előnye a többi hitelesítőhöz képest. Könnyebben használhatóak, sokkal biztonságosabbak, és szinte lehetetlen kompromisszumot kötni magához a fizikai YubiKey-hez való hozzáférés nélkül.

instagram viewer

A Yubikey használatának első lépései

Néhány egyszerű lépésben elkezdheti a YubiKey-t. Első lépésként használd a által készített kvízt Yubico vásárolni a legjobb YubiKey-t az eszköz specifikációihoz. Miután kéznél van a YubiKey, használhatja hitelesítő eszközként webhelyekhez és alkalmazásokhoz.

Használhatja még a sudo és az SSH hitelesítésére is Linux számítógépén. Elmagyarázunk mindent, amit a sudo/SSH-kompatibilis YubiKey kiválasztásáról és a hitelesítéshez való konfigurálásáról tudni kell.

A kép forrása: Tony Webster/Flickr

A megfelelő YubiKey kiválasztása rendszeréhez

Ha a YubiKey-t szeretné használni a hitelesítéshez a Linux-számítógépen, van néhány YubiKey, amely kiemelkedik kiváló lehetőségként. A YubiKey 5 és YubiKey 5 NFC egyaránt klasszikus, amely jól működik USB-A és USB-C rendszerekkel.

Ha szeretné használni a YubiKey-t Linux számítógépével és Android telefonjával, fontolja meg a YubiKey 5c NFC használatát. Ha Linuxos számítógéped és iPhone-od van, akkor érdemes megfontolni a YubiKey 5ci-t, mert támogatja az USB-C-t és a Lightninget.

Fontos megjegyezni, hogy a YubiHSM sorozat nem kompatibilis a sudo hitelesítéssel. A régebbi YubiKeyek sajátos tulajdonságaiktól függően kompatibilisek vagy nem kompatibilisek a sudo/SSH hitelesítéssel.

A sudo vagy SSH hitelesítés megkezdése előtt telepítenie kell a YubiKey PPA-t. Nyissa meg a terminált és írja be a következő parancsokat a csomagok frissítéséhez, valamint a YubiKey Authenticator és a YubiKey Manager telepítéséhez:

sudo add-apt-repository ppa: yubico/stable
sudo apt-get frissítés
sudo apt install yubikey-manager libpam-yubico libpam-u2f

Ezután ellenőriznie kell, hogy rendszere készen áll a YubiKey-vel való együttműködésre. Futtassa a következő parancsot a terminálban az udev verziójának ellenőrzéséhez:

sudo udevadm --verzió

A terminál egy számot ad vissza. Ha a szám 244 vagy nagyobb, akkor rendszere kompatibilis a YubiKey-vel. Ebben az esetben kihagyhatja a következő lépést.

Ellenkező esetben konfigurálnia kell a rendszert. A következő parancsokat kell használnia annak ellenőrzésére, hogy az udev telepítve van-e a számítógépére, és ha nincs, akkor telepítse:

dpkg -s libu2f-udev
sudo apt install libu2f-udev

Ezután ellenőrizze, hogy a YubiKey U2F interfésze fel van-e oldva. Ha van YubiKey NEO vagy YubiKey NEO-n, helyezze be a YubiKey kulcsot, nyissa meg a YubiKey Managert, és navigáljon a Interfészek. Engedélyezze a U2F interfész és nyomja meg Megment.

Állítsa be a YubiKey-t a sudo hitelesítéshez Linuxon

A sudo az egyik legveszélyesebb parancs a Linux környezetben. A megfelelő kezekben lenyűgöző szintű hozzáférést biztosít, amely elegendő a legtöbb munka elvégzéséhez. Rossz kezekben a sudo által biztosított gyökérszintű hozzáférés lehetővé teszi a rosszindulatú felhasználók számára, hogy kihasználják vagy megsemmisítsék a rendszert.

A YubiKey-k kiválóak a sudo hitelesítéshez, mivel hitelesítésüket szinte lehetetlen replikálni magához a YubiKey-hez való hozzáférés nélkül. A legtöbb YubiKey kompatibilis a sudo hitelesítéssel, beleértve az 5 FIP sorozatot, a kulcssorozatot, a 4 FIP sorozatot, a Bio sorozatot, az 5 sorozatot és a 4 sorozatot.

Alapján Yubico, az első lépés, amelyet meg kell tennie a sudo hitelesítés konfigurálásához, egy szabályfájl létrehozása. Ha az udev verziója 188 vagy újabb, telepítse az új U2F szabályokat innen GitHub és másolja a 70-u2f.rules fájlba /etc/udev/rules.d.

Ha az udev verziója 188 alatt van, telepítse a régi U2F szabályokat innen GitHub és másolja a 70 éves-u2f.szabályok fájlba /etc/udev/rules.d.

Ha az udev verziója 244 vagy újabb, vagy elkészítette a szükséges szabályfájlokat, akkor készen áll a YubiKey és a fiók összekapcsolására.

Helyezze be a YubiKey-t a számítógépébe, nyissa meg a terminált, és írja be a következő parancsokat a YubiKey és a fiók összekapcsolásához:

mkdir -p ~/.config/Yubicopamu2fcfg > ~/.config/Yubico/u2f_keys

Várjon néhány pillanatot, amíg a YubiKey jelzőfénye villogni kezd. Érintse meg a gombot a YubiKey-n az eszköz összekapcsolásának megerősítéséhez.

Ha van kéznél egy másik YubiKey, vegye fel tartalék eszközként a következő parancs beírásával, és ugyanazt a folyamatot hajtsa végre:

pamu2fcfg -n >> ~/.config/Yubico/u2f_keys

Végül be kell állítania a sudo parancsot, hogy YubiKey hitelesítést igényeljen. A sudo konfigurációs fájl megnyitásához először írja be a következő parancsot:

sudo vi /etc/pam.d/sudo

A konfigurációs fájl megnyitása után illessze be a következő sort közvetlenül a fájl alá @közös hitelesítést tartalmaz sort a sudo konfigurálásához, hogy YubiKey hitelesítést igényeljen:

hitelesítés szükséges pam_u2f.so

Mentse el és lépjen ki a fájlból a gomb megnyomásával Menekülni, gépelés :wq, és nyomja meg Belép, de tartsa nyitva a terminált. Ha a terminál bezárul, nem tudja visszavonni a sudo hitelesítésen végzett módosításokat.

Nyisson meg egy második terminált, és futtassa a következő parancsot a YubiKey kihúzásával, majd adja meg jelszavát:

sudo echo tesztelés

A hitelesítési folyamat sikertelen lesz. Helyezze be a YubiKey kulcsot, és írja be újra a parancsot és a jelszót. Amikor a YubiKey jelzőfénye villogni kezd, érintse meg a gombot a YubiKey-n. Hitelesítenie kell a parancsot. Ha igen, a YubiKey teljesen be van állítva a sudo hitelesítéshez.

A kép forrása: Håkan Dahlström/Flickr

A YubiKey beállítása az SSH-hitelesítéshez

A YubiKey-t SSH-hitelesítéshez is használhatja! Számos YubiKey sorozat kompatibilis az SSH-val, beleértve az 5 FIPS Series, 5 Series, 4 FIPS Series és 4 Series. A YubiKey használata a kapcsolatok hitelesítésére lehetővé teszi minden egyes SSH bejelentkezést sokkal biztonságosabbá tesz.

A YubiKey beállításának legjobb módszerét egy tapasztalt felhasználó vázolta fel GitHub. Szüksége lesz SSH 8.2-re vagy újabbra, valamint egy YubiKey-re 5.2.3-as vagy újabb firmware-rel. Az OpenSSH verzióját ellenőrizheti – és szükség esetén frissítheti – a következő parancsokkal:

ssh -V
sudo apt frissítés && sudo apt frissítés

Ezután be kell állítania az SSH-t a YubiKey elfogadásához. Írja be a következő parancsot nyissa meg a vi szerkesztőt, és szerkessze a konfigurációs fájlt:

sudo vi /etc/ssh/sshd_config

Adja hozzá a következő sort a konfigurációs fájlhoz, hogy a YubiKey elfogadásra kerüljön:

PubkeyAcceptedKeyTypes [email protected], [email protected]

Mentse el és lépjen ki a fájlból a gomb megnyomásával Menekülni, gépelés :wq, és üti Belép. Végül indítsa újra az SSH szolgáltatást a következő paranccsal, hogy az új konfiguráció aktívvá váljon:

sudo service ssh újraindítás

Végül készen áll az SSH-hitelesítéshez használt kulcspár létrehozására. Keresse meg az SSH-könyvtárat, és hozza létre az új SSH-kulcsot a következő parancsokkal:

cd home/felhasználónév/.ssh
ssh-keygen -t ed25519-sk

Két fájl jön létre a ~/.ssh/ Könyvtár. Vegye figyelembe, hogy szükség lehet a használatára ecdsa-sk ahelyett ed25519-sk ha a rendszere nem kompatibilis, és a terminál jelzi, hogy a kulcsbejegyzés nem sikerült.

Ezután hozzá kell adnia a nyilvános kulcsot a szerveréhez a következő paranccsal:

ssh-copy-id -i ~/.ssh/id_ed25519_sk.pub felhasználónév@szerver

Hozzá kell adnia magát a sudoers fájlhoz is, hogy fenntartsa az engedélyeket a root bejelentkezés letiltása után. Nyissa meg a fájlt a Visudo segítségével.

Ne nyissa meg a sudoers fájlt normál szövegszerkesztővel.

A következő sor alatt gyökér ALL=(ALL: ALL) ALL, adja hozzá a következő sort:

felhasználónév ALL=(ALL: ALL) ALL

Nyissa meg a /etc/ssh/ssd_config fájlt, és adja hozzá a következő sorokat a root bejelentkezés és a jelszó alapú bejelentkezés letiltásához:

ChallengeResponseAuthentication noPermitRootLogin sz

Végül írja be a következő parancsot a kulcs betöltéséhez az SSH-ügynökbe a munkamenet időtartamára:

ssh-add ~/.ssh/id_ed25519_sk

Most már használhatja a YubiKey-t SSH-hitelesítéshez. Amikor a rendszer kéri, be kell helyeznie a YubiKey-t a számítógépébe, és meg kell érintenie a gombot, amikor a jelzőfény villog. Ezzel az új hitelesítési módszerrel az SSH hozzáférés a távoli szerverhez jelentősen biztonságosabb lesz.

A YubiKey egyéb lehetséges felhasználásai

Nincs valódi korlát a YubiKey használatára a Linux rendszeren. Ha rendkívül biztonságossá szeretné tenni számítógépét, fontolja meg a YubiKey használatát lemez- vagy jelszómentes titkosításhoz. Akár e-mailek és fájlok aláírására is használhatja, ha akarja.

Biztosítsa Linux rendszerét a YubiKey segítségével

Nem kell megállnia a YubiKey használatánál az SSH és a sudo hitelesítéshez. A YubiKey segítségével számos fiókjához való hozzáférést hitelesítheti az interneten. A legjobb az egészben az, hogy a YubiKey 2FA használatának megkezdése egyszerű folyamat.