Ako smatrate da je provjera autentičnosti temeljena na lozinci i dva faktora nepouzdana, razmislite o postavljanju provjere autentičnosti temeljene na hardveru na Linuxu koristeći YubiKey.

Niste sami ako brinete zbog sve veće prijetnje hakiranja. Iako su promptovi za autentifikaciju i 2FA dovoljni da obrane većinu potencijalnih hakera, tisuće provala i dalje uspijevaju svaki dan.

Jedno od najčešće hvaljenih rješenja za problem autentifikacije je YubiKey. Ali što je YubiKey i kako funkcionira hardverska autentifikacija? Možete li zaštititi svoje Linux računalo s YubiKey?

Zašto koristiti YubiKey za hardversku autentifikaciju?

Postoje mnoge različite vrste autentifikacije, uključujući lozinke, SMS autentifikaciju, pa čak i aplikacije za autentifikaciju koje možete koristiti sa svojim telefonom. Jedna manje uobičajena vrsta je hardverska provjera autentičnosti, koja uključuje upotrebu malog priključnog uređaja za slanje tokena za provjeru autentičnosti kada se to od vas zatraži.

YubiKeys i drugi hardverski uređaji za autentifikaciju imaju nekoliko prednosti u odnosu na druge autentifikatore. Lakši su za korištenje, mnogo su sigurniji i gotovo ih je nemoguće ugroziti bez pristupa samom fizičkom YubiKeyu.

instagram viewer

Prvi koraci s Yubikeyem

Možete započeti s YubiKeyem u samo nekoliko jednostavnih koraka. Kao prvi korak trebali biste koristiti kviz koji je napravio Yubico da biste kupili najbolji YubiKey za specifikacije vašeg uređaja. Nakon što imate svoj YubiKey pri ruci, možete ga koristiti kao uređaj za autentifikaciju za web stranice i aplikacije.

Možete ga čak koristiti za provjeru autentičnosti sudo i SSH na vašem Linux računalu. Objasnit ćemo vam sve što trebate znati o odabiru sudo/SSH-kompatibilnog YubiKeya i njegovom konfiguriranju za autentifikaciju.

Autor slike: Tony Webster/Flickr

Odabir pravog YubiKeya za vaš sustav

Ako želite koristiti svoj YubiKey za autentifikaciju na vašem Linux računalu, postoji nekoliko YubiKeya koji se ističu kao superiorne opcije. YubiKey 5 i YubiKey 5 NFC klasici su koji dobro rade sa sustavima s USB-A odnosno USB-C.

Ako želite koristiti svoj YubiKey sa svojim Linux računalom i Android telefonom, razmislite o YubiKey 5c NFC. Ako imate Linux računalo i iPhone, razmislite o YubiKey 5ci jer podržava USB-C i Lightning.

Važno je napomenuti da YubiHSM serija nije kompatibilna sa sudo autentifikacijom. Legacy YubiKeys mogu ili ne moraju biti kompatibilni sa sudo/SSH autentifikacijom ovisno o njihovim specifičnim značajkama.

Prije nego počnete sa sudo ili SSH autentifikacijom, morate instalirati YubiKey PPA. Otvorite terminal i unesite sljedeće naredbe kako biste ažurirali svoje pakete i instalirali YubiKey Authenticator i YubiKey Manager:

sudo add-apt-repository ppa: yubico/stable
sudo apt-get ažuriranje
sudo apt instaliraj yubikey-manager libpam-yubico libpam-u2f

Zatim ćete morati potvrditi da je vaš sustav spreman za rad s vašim YubiKeyem. Pokrenite sljedeću naredbu u terminalu da provjerite svoju udev verziju:

sudo udevadm --verzija

Terminal će vratiti broj. Ako je broj 244 ili veći, vaš sustav je kompatibilan s YubiKey. U ovom slučaju možete preskočiti sljedeći korak.

U suprotnom ćete morati konfigurirati svoj sustav. Trebali biste koristiti sljedeće naredbe da provjerite je li udev instaliran na vašem računalu—i da ga instalirate ako nije:

dpkg -s libu2f-udev
sudo apt instalirajte libu2f-udev

Zatim provjerite je li U2F sučelje vašeg YubiKeya otključano. Ako imate YubiKey NEO ili YubiKey NEO-n, umetnite svoj YubiKey, otvorite YubiKey Manager i idite na sučelja. Omogućite U2F sučelje i pritisnite Uštedjeti.

Postavite YubiKey za sudo autentifikaciju na Linuxu

sudo je jedna od najopasnijih naredbi u Linux okruženju. U pravim rukama pruža impresivnu razinu pristupa koja je dovoljna za obavljanje većine poslova. U pogrešnim rukama, pristup na razini korijena koji pruža sudo može omogućiti zlonamjernim korisnicima da iskoriste ili unište sustav.

YubiKey su izvrsni za sudo autentifikaciju jer je njihovu autentifikaciju gotovo nemoguće replicirati bez pristupa samom YubiKeyu. Većina YubiKeya kompatibilna je sa sudo autentifikacijom, uključujući seriju 5 FIP-ova, seriju ključeva, seriju 4 FIP-a, seriju Bio, seriju 5 i seriju 4.

Prema Yubico, prvi korak koji morate poduzeti da konfigurirate sudo autentifikaciju je stvaranje datoteke pravila. Ako je vaša udev verzija 188 ili novija, instalirajte nova U2F pravila iz GitHub i kopirajte 70-u2f.pravila datoteka u /etc/udev/rules.d.

Ako je vaša udev verzija ispod 188, instalirajte naslijeđena U2F pravila iz GitHub i kopirajte 70-stari-u2f.pravila datoteka u /etc/udev/rules.d.

Ako je vaša udev verzija 244 ili novija ili ste napravili potrebne datoteke pravila, spremni ste povezati svoj YubiKey sa svojim računom.

Umetnite YubiKey u svoje računalo, otvorite terminal i unesite sljedeće naredbe da povežete svoj YubiKey sa svojim računom:

mkdir -p ~/.config/Yubicopamu2fcfg > ~/.config/Yubico/u2f_keys

Pričekajte nekoliko trenutaka dok indikatorska lampica na vašem YubiKeyu ne počne treperiti. Dodirnite gumb na YubiKeyu da potvrdite vezu uređaja.

Ako imate još jedan YubiKey pri ruci, trebali biste ga dodati kao pričuvni uređaj unosom sljedeće naredbe i dovršavanjem istog postupka:

pamu2fcfg -n >> ~/.config/Yubico/u2f_keys

Konačno, morat ćete konfigurirati sudo naredbu da zahtijeva YubiKey autentifikaciju. Trebali biste započeti unosom sljedeće naredbe za otvaranje sudo konfiguracijske datoteke:

sudo vi /etc/pam.d/sudo

Nakon što je konfiguracijska datoteka otvorena, zalijepite sljedeći redak odmah ispod @include common-auth linija za konfiguriranje sudo-a da zahtijeva YubiKey autentifikaciju:

potrebna autentifikacija pam_u2f.so

Spremite i izađite iz datoteke pritiskom na Pobjeći, tipkanje :wq, i pritiskom Unesi, ali ostavite terminal otvoren. Nećete moći poništiti promjene koje ste napravili u sudo autentifikaciji ako se terminal zatvori.

Otvorite drugi terminal i pokrenite sljedeću naredbu dok YubiKey nije priključen, zatim unesite svoju lozinku:

sudo echo testiranje

Proces provjere autentičnosti neće uspjeti. Umetnite svoj YubiKey i ponovno unesite naredbu i lozinku. Kada indikatorska lampica YubiKey počne treperiti, dodirnite gumb na svom YubiKeyju. Trebao bi potvrditi autentičnost naredbe. Ako se dogodi, vaš YubiKey je u potpunosti postavljen za sudo autentifikaciju.

Autor slike: Håkan Dahlström/Flickr

Kako postaviti YubiKey za SSH autentifikaciju

Svoj YubiKey možete koristiti i za SSH autentifikaciju! Nekoliko serija YubiKey kompatibilno je sa SSH, uključujući seriju 5 FIPS, seriju 5, seriju 4 FIPS i seriju 4. Korištenje YubiKeya za provjeru autentičnosti vaših veza omogućit će vam učiniti svaku SSH prijavu mnogo sigurnijom.

Najbolju metodu za postavljanje YubiKeya opisao je iskusni korisnik na GitHub. Trebat će vam SSH 8.2 ili noviji i YubiKey s firmwareom 5.2.3 ili novijim. Možete provjeriti svoju verziju OpenSSH-a—i ažurirati je ako je potrebno—sa sljedećim naredbama:

ssh -V
ažuriranje sudo apt && nadogradnja sudo apt

Zatim ćete morati konfigurirati SSH da prihvati vaš YubiKey. Unesite sljedeću naredbu za otvorite vi editor i uredite konfiguracijsku datoteku:

sudo vi /etc/ssh/sshd_config

Dodajte sljedeći red u konfiguracijsku datoteku kako bi vaš YubiKey bio prihvaćen:

PubkeyAcceptedKeyTypes sk-ecdsa-sha2-nistp256@openssh.com, sk-ssh-ed25519-cert-v01@openssh.com

Spremite i izađite iz datoteke pritiskom na Pobjeći, tipkanje :wq, i udaranje Unesi. Na kraju, ponovno pokrenite SSH uslugu sljedećom naredbom kako bi vaša nova konfiguracija postala aktivna:

sudo servis ssh restart

Konačno, spremni ste za izradu para ključeva koje ćete koristiti za SSH autentifikaciju. Dođite do SSH direktorija i izradite svoj novi SSH ključ pomoću sljedećih naredbi:

cd home/korisničko ime/.ssh
ssh-keygen -t ed25519-sk

Dvije datoteke će se stvoriti u ~/.ssh/ imenik. Imajte na umu da ćete možda morati koristiti ecdsa-sk umjesto ed25519-sk ako je vaš sustav nekompatibilan i terminal obavijesti da upis ključa nije uspio.

Zatim ćete morati dodati javni ključ svom poslužitelju sljedećom naredbom:

ssh-copy-id -i ~/.ssh/id_ed25519_sk.pub korisničko ime@poslužitelj

Također biste se trebali dodati u sudoers datoteku kako biste zadržali dopuštenja nakon onemogućavanja root prijave. Pristupite datoteci i otvorite je s visudo.

Nemojte otvarati datoteku sudoers s normalnim uređivačem teksta.

Ispod crte koja glasi korijen SVI=(SVI: SVI) SVI, dodajte sljedeći redak:

korisničko ime SVI=(SVI: SVI) SVI

Otvori /etc/ssh/ssd_config datoteku i dodajte sljedeće retke za onemogućavanje root prijave i prijave temeljene na lozinci:

ChallengeResponseAuthentication noPermitRootLogin br

Na kraju unesite sljedeću naredbu za učitavanje ključa u SSH agenta tijekom trajanja sesije:

ssh-dodaj ~/.ssh/id_ed25519_sk

Sada možete koristiti svoj YubiKey za SSH autentifikaciju. Morat ćete umetnuti svoj YubiKey u svoje računalo kada se to od vas zatraži i dodirnuti gumb kada indikator treperi. S ovom novom metodom provjere autentičnosti, SSH pristup vašem udaljenom poslužitelju bit će znatno sigurniji.

Druge potencijalne upotrebe YubiKeya

Ne postoji pravo ograničenje kako možete koristiti YubiKey na svom Linux sustavu. Ako želite učiniti svoje računalo dodatno sigurnim, razmislite o korištenju vašeg YubiKeya za šifriranje diska ili bez lozinke. Možete ga čak koristiti za potpisivanje e-pošte i datoteka ako želite.

Osigurajte svoj Linux sustav uz YubiKey

Ne morate se zaustaviti samo na korištenju svog YubiKeya za SSH i sudo autentifikaciju. Također možete koristiti svoj YubiKey za autentifikaciju pristupa mnogim svojim računima na webu. Najbolji dio je to što je početak rada s YubiKey 2FA jednostavan proces.