Kui arvate, et paroolipõhine ja kahefaktoriline autentimine on ebausaldusväärne, kaaluge riistvarapõhise autentimise seadistamist Linuxis YubiKey abil.

Te ei ole üksi, kui muretsete üha suureneva häkkimisohu pärast. Kuigi autentimisviibad ja 2FA on enamiku potentsiaalsete häkkerite tõrjumiseks piisavad, õnnestub tuhandeid rikkumisi siiski iga päev.

Üks autentimisprobleemi kõige sagedamini reklaamitud lahendusi on YubiKey. Aga mis on YubiKey ja kuidas riistvara autentimine töötab? Kas saate oma Linuxi arvutit YubiKeyga kaitsta?

Miks kasutada riistvara autentimiseks YubiKey'd?

On olemas palju erinevaid autentimistüüpe, sealhulgas paroolid, SMS-i autentimine ja isegi autentimisrakendused, mida saate oma telefoniga kasutada. Üks vähem levinud tüüp on riistvara autentimine, mis hõlmab väikese pistikseadme kasutamist, et saata autentimisluba, kui seda küsitakse.

YubiKeysil ja muudel riistvaralistel autentimisseadmetel on teiste autentijate ees mõned eelised. Neid on lihtsam kasutada, palju turvalisemad ja neid on peaaegu võimatu teha ilma juurdepääsuta füüsilisele YubiKeyle.

Yubikeyga alustamine

YubiKeyga saate alustada vaid mõne lihtsa sammuga. Esimese sammuna peaksite kasutama viktoriini, mille on koostanud Yubico et osta oma seadme spetsifikatsioonide jaoks parim YubiKey. Kui teil on YubiKey käepärast, saate seda kasutada veebisaitide ja rakenduste autentimisseadmena.

Saate seda kasutada isegi sudo ja SSH autentimiseks oma Linuxi arvutis. Selgitame kõike, mida pead teadma sudo/SSH-ühilduva YubiKey valimise ja selle autentimiseks seadistamise kohta.

Pildi krediit: Tony Webster/Flickr

Süsteemi jaoks õige YubiKey valimine

Kui soovite kasutada oma YubiKey'd oma Linuxi arvutis autentimiseks, on mõned YubiKey'd, mis paistavad silma suurepärase valikuna. YubiKey 5 ja YubiKey 5 NFC on mõlemad klassikalised, mis töötavad hästi vastavalt USB-A ja USB-C süsteemidega.

Kui soovite oma YubiKeyt kasutada oma Linuxi arvuti ja Android-telefoniga, peaksite kaaluma YubiKey 5c NFC kasutamist. Kui teil on Linuxi arvuti ja iPhone, peaksite kaaluma YubiKey 5ci kasutamist, kuna see toetab USB-C ja Lightningit.

Oluline on märkida, et YubiHSM-seeria ei ühildu sudo autentimisega. Pärand YubiKeys võib olenevalt nende spetsiifilistest funktsioonidest olla sudo/SSH autentimisega ühilduv või mitte.

Enne sudo või SSH autentimisega alustamist peate installima YubiKey PPA. Avage terminal ja sisestage pakettide värskendamiseks ning YubiKey Authenticatori ja YubiKey Manageri installimiseks järgmised käsud:

sudo add-apt-hoidla ppa: yubico/stable
sudo apt-get värskendus
sudo apt install yubikey-manager libpam-yubico libpam-u2f

Järgmisena peate kontrollima, kas teie süsteem on teie YubiKeyga töötamiseks valmis. Udev-versiooni kontrollimiseks käivitage terminalis järgmine käsk:

sudo udevadm --versioon

Terminal tagastab numbri. Kui number on 244 või suurem, ühildub teie süsteem YubiKeyga. Sel juhul võite järgmise sammu vahele jätta.

Vastasel juhul peate oma süsteemi konfigureerima. Peaksite kasutama järgmisi käske, et kontrollida, kas udev on teie arvutisse installitud, ja installida, kui see pole installitud:

dpkg -s libu2f-udev
sudo apt install libu2f-udev

Järgmisena kontrollige, kas teie YubiKey U2F-liides on lukustamata. Kui teil on YubiKey NEO või YubiKey NEO-n, sisestage oma YubiKey, avage YubiKey haldur ja navigeerige Liidesed. Lubage U2F liides ja vajutage Salvesta.

Seadistage YubiKey sudo autentimiseks Linuxis

sudo on Linuxi keskkonnas üks ohtlikumaid käske. Õigetes kätes pakub see muljetavaldava juurdepääsutaseme, mis on piisav enamiku tööde tegemiseks. Valedes kätes võib sudo pakutav juurtaseme juurdepääs lubada pahatahtlikel kasutajatel süsteemi ära kasutada või hävitada.

YubiKeys sobivad suurepäraselt sudo autentimiseks, kuna nende autentimist on peaaegu võimatu kopeerida ilma juurdepääsuta YubiKeyle. Enamik YubiKeysid ühilduvad sudo autentimisega, sealhulgas 5 FIP-i seeria, võtmeseeria, 4 FIP-seeria, bio-seeria, 5-seeria ja 4-seeria.

Vastavalt Yubico, on esimene samm sudo autentimise konfigureerimiseks reeglifaili loomine. Kui teie udevi versioon on 188 või uuem, installige uued U2F-reeglid saidilt GitHub ja kopeerige 70-u2f.reeglid faili /etc/udev/rules.d.

Kui teie udevi versioon on alla 188, installige pärand U2F reeglid saidilt GitHub ja kopeerige 70-vana-u2f.reeglid faili /etc/udev/rules.d.

Kui teie udevi versioon on 244 või uuem või olete koostanud vajalikud reeglifailid, olete valmis oma YubiKey oma kontoga linkima.

Sisestage YubiKey oma arvutisse, avage terminal ja sisestage järgmised käsud, et linkida YubiKey oma kontoga:

mkdir -p ~/.config/Yubicopamu2fcfg > ~/.config/Yubico/u2f_keys

Oodake mõni hetk, kuni teie YubiKey märgutuli hakkab vilkuma. Seadme lingi kinnitamiseks puudutage YubiKey nuppu.

Kui teil on käepärast teine ​​YubiKey, peaksite selle lisama varuseadmena, sisestades järgmise käsu ja sooritades sama protsessi:

pamu2fcfg -n >> ~/.config/Yubico/u2f_keys

Lõpuks peate konfigureerima sudo käsu, et nõuda YubiKey autentimist. Sudo konfiguratsioonifaili avamiseks peaksite alustama järgmise käsu sisestamisega:

sudo vi /etc/pam.d/sudo

Kui konfiguratsioonifail on avatud, kleepige järgmine rida otse all @include common-auth rida sudo konfigureerimiseks YubiKey autentimist nõudma:

nõutav autentimine pam_u2f.so

Salvestage ja väljuge failist vajutades Põgenemine, tippides :wqja vajutades Sisenema, kuid hoidke terminal lahti. Kui terminal sulgub, ei saa te sudo autentimises tehtud muudatusi tagasi võtta.

Avage teine ​​terminal ja käivitage järgmine käsk, kui YubiKey on lahti ühendatud, seejärel sisestage oma parool:

sudo kaja testimine

Autentimisprotsess ebaõnnestub. Sisestage oma YubiKey ja sisestage käsk ja parool uuesti. Kui YubiKey märgutuli hakkab vilkuma, puudutage oma YubiKey nuppu. See peaks käsu autentima. Kui see nii on, on teie YubiKey sudo autentimiseks täielikult seadistatud.

Pildi krediit: Håkan Dahlström/Flickr

Kuidas seadistada YubiKey SSH autentimiseks

Saate oma YubiKeyt kasutada ka SSH autentimiseks! Mitmed YubiKey seeriad ühilduvad SSH-ga, sealhulgas 5 FIPS-seeria, 5-seeria, 4 FIPS-seeria ja 4-seeria. YubiKey kasutamine ühenduste autentimiseks võimaldab teil seda teha muuta iga SSH sisselogimine palju turvalisemaks.

Parima meetodi YubiKey seadistamiseks kirjeldas kogenud kasutaja GitHub. Teil on vaja SSH 8.2 või uuemat versiooni ja YubiKey püsivara 5.2.3 või uuemat versiooni. Saate oma OpenSSH versiooni kontrollida ja vajadusel värskendada järgmiste käskudega:

ssh -V
sudo apt värskendus && sudo apt uuendus

Järgmisena peate konfigureerima SSH oma YubiKey aktsepteerimiseks. Sisestage järgmine käsk avage vi-redaktor ja redigeerige konfiguratsioonifaili:

sudo vi /etc/ssh/sshd_config

Lisage konfiguratsioonifaili järgmine rida, et teie YubiKey aktsepteeritaks:

PubkeyAcceptedKeyTypes [email protected], [email protected]

Salvestage ja väljuge failist vajutades Põgenemine, tippides :wq, ja lööb Sisenema. Lõpuks taaskäivitage SSH-teenus järgmise käsuga, et teie uus konfiguratsioon muutuks aktiivseks:

sudo teenus ssh taaskäivitage

Lõpuks olete valmis looma võtmepaari, mida kasutate SSH autentimiseks. Liikuge SSH-kataloogi ja looge oma uus SSH-võti järgmiste käskudega:

cd kodu/kasutajanimi/.ssh
ssh-keygen -t ed25519-sk

Rakenduses luuakse kaks faili ~/.ssh/ kataloog. Pange tähele, et peate võib-olla kasutama ecdsa-sk selle asemel ed25519-sk kui teie süsteem ei ühildu ja terminal küsib, et võtme registreerimine ebaõnnestus.

Järgmisena peate oma serverisse lisama avaliku võtme järgmise käsuga:

ssh-copy-id -i ~/.ssh/id_ed25519_sk.pub kasutajanimi@server

Peaksite end ka sudoers-faili lisama, et säilitaksite õigused pärast juurlogimise keelamist. Juurdepääs failile ja ava see visudo abil.

Ärge avage sudoers-faili tavalise tekstiredaktoriga.

Selle rea all, mis loeb juur KÕIK=(KÕIK: KÕIK) KÕIK, lisage järgmine rida:

kasutajanimi KÕIK=(KÕIK: KÕIK) KÕIK

Ava /etc/ssh/ssd_config fail ja lisage juurlogimise ja paroolipõhise sisselogimise keelamiseks järgmised read:

ChallengeResponseAuthentication noPermitRootLogin nr

Lõpuks sisestage järgmine käsk, et laadida võti oma SSH-agendisse seansi ajaks:

ssh-add ~/.ssh/id_ed25519_sk

Nüüd saate oma YubiKey-d kasutada SSH autentimiseks. Peate sisestama YubiKey arvutisse, kui seda küsitakse, ja puudutage nuppu, kui indikaator vilgub. Selle uue autentimismeetodiga on SSH-juurdepääs teie kaugserverile oluliselt turvalisem.

YubiKey muud potentsiaalsed kasutusalad

YubiKey kasutamisel oma Linuxi süsteemis pole tegelikke piiranguid. Kui soovite oma arvutit eriti turvaliseks muuta, kaaluge YubiKey kasutamist ketta- või paroolivabaks krüptimiseks. Soovi korral saate seda kasutada isegi meilide ja failide allkirjastamiseks.

Kaitske oma Linuxi süsteem YubiKeyga

Te ei pea piirduma oma YubiKey kasutamisega SSH ja sudo autentimiseks. Samuti saate oma YubiKey abil autentida juurdepääsu paljudele oma kontodele kogu veebis. Parim osa on see, et YubiKey 2FA-ga alustamine on lihtne protsess.