Jos salasanapohjainen ja kaksivaiheinen todennus on mielestäsi epäluotettava, harkitse laitteistopohjaisen todennuksen määrittämistä Linuxissa YubiKeyn avulla.

Et ole yksin, jos olet huolissasi jatkuvasti kasvavasta hakkeroinnin uhasta. Vaikka todennuskehotteet ja 2FA riittävät torjumaan useimmat mahdolliset hakkerit, tuhannet tietomurrot onnistuvat silti joka päivä.

Yksi yleisimmin mainostetuista ratkaisuista todennusongelmaan on YubiKey. Mutta mikä on YubiKey ja miten laitteistotodennus toimii? Voitko suojata Linux-tietokoneesi YubiKeyllä?

Miksi käyttää YubiKeyä laitteiston todentamiseen?

On olemassa monia erilaisia ​​​​todennustyyppejä, mukaan lukien salasanat, tekstiviestitodennus ja jopa todennussovellukset, joita voit käyttää puhelimesi kanssa. Yksi harvinaisempi tyyppi on laitteistotodennus, jossa käytetään pientä plug-in-laitetta todennustunnuksen lähettämiseen pyydettäessä.

YubiKeysillä ja muilla laitteistotodennuslaitteilla on muutamia etuja muihin todentajiin verrattuna. Niitä on helpompi käyttää, paljon turvallisempia, ja niistä on lähes mahdotonta tinkiä ilman pääsyä fyysiseen YubiKeyyn.

Yubikeyn käytön aloittaminen

Voit aloittaa YubiKeyn avulla vain muutamalla yksinkertaisella vaiheella. Ensimmäisenä askeleena sinun tulee käyttää tietokilpailua, jonka on tehnyt Yubico ostaaksesi parhaan YubiKeyn laitteellesi. Kun sinulla on YubiKey käsillä, voit käyttää sitä verkkosivustojen ja sovellusten todennuslaitteena.

Voit jopa käyttää sitä sudon ja SSH: n todentamiseen Linux-tietokoneellasi. Selitämme kaiken, mitä sinun tulee tietää sudo/SSH-yhteensopivan YubiKeyn valinnasta ja sen määrittämisestä todennusta varten.

Kuvan luotto: Tony Webster/Flickr

Oikean YubiKeyn valitseminen järjestelmällesi

Jos haluat käyttää YubiKeyäsi todentamiseen Linux-tietokoneellasi, on muutama YubiKey, jotka erottuvat ylivoimaisista vaihtoehdoista. YubiKey 5 ja YubiKey 5 NFC ovat molemmat klassikoita, jotka toimivat hyvin USB-A- ja USB-C-järjestelmien kanssa.

Jos haluat käyttää YubiKeyta Linux-tietokoneesi ja Android-puhelimesi kanssa, sinun kannattaa harkita YubiKey 5c NFC: tä. Jos sinulla on Linux-tietokone ja iPhone, sinun kannattaa harkita YubiKey 5ci: tä, koska se tukee USB-C: tä ja salamaa.

On tärkeää huomata, että YubiHSM-sarja ei ole yhteensopiva sudo-todennuksen kanssa. Vanhat YubiKeyst voivat olla yhteensopivia sudo/SSH-todennuksen kanssa niiden erityisominaisuuksista riippuen.

Ennen kuin aloitat sudo- tai SSH-todennuksen, sinun on asennettava YubiKey PPA. Avaa terminaali ja anna seuraavat komennot päivittääksesi paketit ja asentaaksesi YubiKey Authenticator ja YubiKey Manager:

sudo add-apt-repository ppa: yubico/stable
sudo apt-get päivitys
sudo apt install yubikey-manager libpam-yubico libpam-u2f

Seuraavaksi sinun on varmistettava, että järjestelmäsi on valmis toimimaan YubiKeyn kanssa. Suorita seuraava komento päätteessä tarkistaaksesi udev-versiosi:

sudo udevadm --versio

Pääte palauttaa numeron. Jos numero on 244 tai suurempi, järjestelmäsi on yhteensopiva YubiKeyn kanssa. Voit ohittaa seuraavan vaiheen tässä tapauksessa.

Muussa tapauksessa sinun on määritettävä järjestelmäsi. Sinun tulee käyttää seuraavia komentoja tarkistaaksesi, onko udev asennettu tietokoneellesi – ja asentaaksesi sen, jos se ei ole:

dpkg -s libu2f-udev
sudo apt install libu2f-udev

Tarkista seuraavaksi, onko YubiKeyn U2F-liitäntä lukitsematon. Jos sinulla on YubiKey NEO tai YubiKey NEO-n, aseta YubiKey, avaa YubiKey Manager ja navigoi Liitännät. Ota käyttöön U2F-liitäntä ja paina Tallentaa.

Määritä YubiKey sudo-todennusta varten Linuxissa

sudo on yksi vaarallisimmista komennoista Linux-ympäristössä. Oikeissa käsissä se tarjoaa vaikuttavan pääsyn, joka riittää useimpien töiden suorittamiseen. Väärissä käsissä sudon tarjoama juuritason käyttöoikeus voi sallia haitallisten käyttäjien hyödyntää tai tuhota järjestelmää.

YubiKeys soveltuu erinomaisesti sudo-todennukseen, koska niiden todennusta on lähes mahdotonta replikoida ilman pääsyä itse YubiKeyyn. Useimmat YubiKeyst ovat yhteensopivia sudo-todennuksen kanssa, mukaan lukien 5 FIPs-sarja, Key-sarja, 4 FIP-sarja, Bio-sarja, 5-sarja ja 4-sarja.

Mukaan Yubico, ensimmäinen askel, joka sinun on tehtävä sudo-todennuksen määrittämiseksi, on sääntötiedoston luominen. Jos udev-versiosi on 188 tai uudempi, asenna uudet U2F-säännöt osoitteesta GitHub ja kopioida 70-u2f.rules tiedosto /etc/udev/rules.d.

Jos udev-versiosi on alle 188, asenna vanhat U2F-säännöt osoitteesta GitHub ja kopioida 70-old-u2f.rules tiedosto /etc/udev/rules.d.

Jos udev-versiosi on 244 tai uudempi tai olet tehnyt tarvittavat sääntötiedostot, olet valmis yhdistämään YubiKey-tilisi tiliisi.

Aseta YubiKey tietokoneellesi, avaa pääte ja anna seuraavat komennot yhdistääksesi YubiKeyn tiliisi:

mkdir -p ~/.config/Yubicopamu2fcfg > ~/.config/Yubico/u2f_keys

Odota muutama hetki, kunnes YubiKeyn merkkivalo alkaa vilkkua. Kosketa YubiKeyn painiketta vahvistaaksesi laitteen linkin.

Jos sinulla on toinen YubiKey käsillä, sinun tulee lisätä se varmuuskopiolaitteeksi antamalla seuraava komento ja suorittamalla sama prosessi:

pamu2fcfg -n >> ~/.config/Yubico/u2f_keys

Lopuksi sinun on määritettävä sudo-komento vaatimaan YubiKey-todennusta. Aloita kirjoittamalla seuraava komento avataksesi sudo-määritystiedoston:

sudo vi /etc/pam.d/sudo

Kun määritystiedosto on auki, liitä seuraava rivi aivan tiedoston alle @sisällytä yhteinen todennus rivi, jolla sudo määritetään vaatimaan YubiKey-todennusta:

todennus vaaditaan pam_u2f.so

Tallenna ja poistu tiedostosta painamalla Paeta, kirjoittamalla :wq, ja painamalla Tulla sisään, mutta pidä terminaali auki. Et voi peruuttaa sudo-todennusta tekemiäsi muutoksia, jos pääte sulkeutuu.

Avaa toinen pääte ja suorita seuraava komento YubiKey irrotettuna ja anna sitten salasanasi:

sudo echo -testaus

Todennusprosessi epäonnistuu. Aseta YubiKey ja anna komento ja salasana uudelleen. Kun YubiKeyn merkkivalo alkaa vilkkua, kosketa YubiKeyn painiketta. Sen pitäisi todentaa komento. Jos näin on, YubiKey on täysin määritetty sudo-todennusta varten.

Kuvan luotto: Håkan Dahlström/Flickr

YubiKeyn määrittäminen SSH-todennusta varten

Voit käyttää YubiKeyä myös SSH-todennukseen! Useat YubiKey-sarjat ovat yhteensopivia SSH: n kanssa, mukaan lukien 5 FIPS-sarja, 5-sarja, 4 FIPS-sarja ja 4-sarja. YubiKeyn käyttäminen yhteyksiesi todentamiseen antaa sinulle mahdollisuuden tehdä jokaisesta SSH-kirjautumisesta paljon turvallisempaa.

Kokenut käyttäjä hahmotteli parhaan tavan YubiKeyn määrittämiseen GitHub. Tarvitset SSH 8.2:n tai uudemman ja YubiKeyn, jossa on laiteohjelmisto 5.2.3 tai uudempi. Voit tarkistaa OpenSSH-versiosi ja päivittää sen tarvittaessa seuraavilla komennoilla:

ssh -V
sudo apt päivitys && sudo apt päivitys

Seuraavaksi sinun on määritettävä SSH hyväksymään YubiKey. Kirjoita seuraava komento avaa vi-editori ja muokkaa asetustiedostoa:

sudo vi /etc/ssh/sshd_config

Lisää seuraava rivi määritystiedostoon, jotta YubiKey hyväksytään:

PubkeyAcceptedKeyTypes [email protected], [email protected]

Tallenna ja poistu tiedostosta painamalla Paeta, kirjoittamalla :wq, ja lyömällä Tulla sisään. Lopuksi käynnistä SSH-palvelu uudelleen seuraavalla komennolla, jotta uusi kokoonpano aktivoituu:

sudo-palvelu ssh käynnistyy uudelleen

Lopuksi olet valmis luomaan avainparin, jota käytät SSH-todennusta varten. Siirry SSH-hakemistoon ja luo uusi SSH-avain seuraavilla komennoilla:

cd koti/käyttäjänimi/.ssh
ssh-keygen -t ed25519-sk

Kaksi tiedostoa luodaan ~/.ssh/ hakemistosta. Huomaa, että saatat joutua käyttämään ecdsa-sk sijasta ed25519-sk jos järjestelmäsi ei ole yhteensopiva ja pääte kehottaa, että avaimen rekisteröinti epäonnistui.

Seuraavaksi sinun on lisättävä julkinen avain palvelimellesi seuraavalla komennolla:

ssh-copy-id -i ~/.ssh/id_ed25519_sk.pub käyttäjätunnus@palvelin

Sinun tulee myös lisätä itsesi sudoers-tiedostoon, jotta säilytät käyttöoikeudet pääkäyttäjän kirjautumisen poistamisen jälkeen. Avaa tiedosto ja avaa se visudolla.

Älä avaa sudoers-tiedostoa tavallisella tekstieditorilla.

Sen rivin alla, joka lukee root ALL=(ALL: ALL) ALL, lisää seuraava rivi:

käyttäjätunnus ALL=(ALL: ALL) ALL

Avaa /etc/ssh/ssd_config tiedosto ja lisää seuraavat rivit poistaaksesi pääkäyttäjän kirjautumisen ja salasanapohjaisen kirjautumisen:

ChallengeResponseAuthentication noPermitRootLogin no

Kirjoita lopuksi seuraava komento ladataksesi avaimesi SSH-agenttiisi istunnon ajaksi:

ssh-add ~/.ssh/id_ed25519_sk

Voit nyt käyttää YubiKeyä SSH-todennusta varten. Sinun on asetettava YubiKey tietokoneeseesi pyydettäessä ja napautettava painiketta, kun merkkivalo vilkkuu. Tällä uudella todennusmenetelmällä SSH-yhteys etäpalvelimellesi on huomattavasti turvallisempi.

Muita YubiKeyn mahdollisia käyttötarkoituksia

YubiKeyn käytölle Linux-järjestelmässäsi ei ole todellista rajoitusta. Jos haluat tehdä tietokoneestasi erityisen suojatun, harkitse YubiKeyn käyttöä levy- tai salasanattomaan salaukseen. Voit jopa käyttää sitä sähköpostien ja tiedostojen allekirjoittamiseen, jos haluat.

Suojaa Linux-järjestelmäsi YubiKeyllä

Sinun ei tarvitse pysähtyä vain käyttämään YubiKeyä SSH- ja sudo-todennusta varten. Voit myös käyttää YubiKeyä useiden tiliesi käyttöoikeuden todentamiseen verkossa. Parasta on, että YubiKey 2FA: n käytön aloittaminen on yksinkertainen prosessi.