Вы не одиноки, если вас беспокоят постоянно растущие угрозы взлома и кражи данных. Хотя запросов многофакторной аутентификации достаточно, чтобы защититься от большинства потенциальных хакеров, каждый день все еще происходят тысячи взломов.
YubiKey — одно из самых популярных решений проблемы аутентификации. Но что такое YubiKey и как работает аппаратная аутентификация? Можете ли вы защитить свой Linux-компьютер с помощью YubiKey? Проверять Лучшие альтернативы LastPass Password Manager для Android.
Зачем использовать YubiKey для аутентификации устройств?
Существует множество различных типов аутентификации, включая пароли, SMS-аутентификацию и даже приложения для аутентификации, которые вы можете использовать на своем телефоне. Одним из менее распространенных типов является аппаратная аутентификация, при которой используется небольшое дополнительное устройство для отправки кода аутентификации при появлении запроса.
YubiKeys и другие аппаратные аутентификаторы имеют некоторые преимущества перед другими приложениями аутентификации. Он проще в использовании, более безопасен, и практически невозможно проверить подлинность без доступа к самому YubiKey.
Начало работы с Юбикей
Вы можете начать работу с YubiKey всего за несколько простых шагов. В качестве первого шага вы должны воспользоваться тестом, который вы прошли Yubico Купите лучший YubiKey для вашего устройства. Если у вас есть нужный YubiKey, вы можете использовать его в качестве устройства аутентификации для веб-сайтов и приложений.
Вы даже можете использовать его для аутентификации sudo и SSH на вашем компьютере с Linux. Мы объясним все, что вам нужно знать о выборе sudo/SSH-совместимого YubiKey и его настройке для аутентификации.
Выберите правильный YubiKey для вашей системы
Если вы хотите использовать свой YubiKey для аутентификации на вашем компьютере с Linux, есть несколько ключей YubiKey, которые выделяются как отличные варианты. YubiKey 5 и YubiKey 5 NFC — это классические варианты, которые хорошо работают с системами, оборудованными USB-A и USB-C соответственно.
Если вы хотите использовать YubiKey с компьютером Linux и телефоном Android, вам следует рассмотреть YubiKey 5c NFC. Если у вас есть компьютер с Linux и iPhone, вам следует рассмотреть YubiKey 5ci, поскольку он поддерживает USB-C и Lightning.
Важно отметить, что строка YubiHSM несовместима с аутентификацией sudo. Устаревшие ключи YubiKey могут быть совместимы или несовместимы с аутентификацией sudo/SSH в зависимости от их особенностей.
Прежде чем вы начнете с аутентификации sudo или SSH, вы должны установить YubiKey PPA. Откройте терминал и введите следующие команды, чтобы обновить пакеты и установить YubiKey Authenticator и YubiKey Manager:
sudo add-apt-repository ppa:yubico/stable sudo apt-get update sudo apt install yubikey-manager libpam-yubico libpam-u2f
Далее вам необходимо убедиться, что ваша система готова к работе с YubiKey. Выполните следующую команду в терминале, чтобы проверить версию Udev ваш:
sudo udevadm --version Терминал вернет число. Если число 244 или выше, ваша система совместима с YubiKey. В этом случае вы можете перейти к следующему шагу.
В противном случае вам потребуется настроить систему. Вы должны использовать следующие команды, чтобы проверить: Udev установлен на вашем компьютере — и установить его, если это не так:
dpkg -s libu2f-udev sudo apt install libu2f-udev
Затем проверьте, разблокирован ли интерфейс U2F YubiKey. Если у вас есть YubiKey NEO или YubiKey NEO-n, вставьте устройство YubiKey, откройте диспетчер YubiKey и перейдите в раздел «Интерфейсы». Давать возможность U2F-интерфейс И нажмите спасти. Проверять Причины, по которым вам не следует внедрять Docker без sudo.
Настройте YubiKey для аутентификации sudo в Linux
Sudo Это одна из самых опасных команд в среде Linux. В умелых руках он обеспечивает впечатляющий уровень охвата, достаточный для выполнения большинства задач. В чужих руках он может разрешить доступ на корневом уровне, который он предоставляет. Sudo Разрешить злоумышленникам использовать или разрушать систему.
YubiKey — отличное устройство для аутентификации Sudo Потому что скопировать аутентификацию без доступа к самому YubiKey практически невозможно. Большинство YubiKeys совместимы с аутентификацией. Sudo , в том числе FIP серии 5, серии Key, FIP серии 4, серии Bio, серии 5 и серии 4.
в соответствии с Yubico , первый шаг, который вы должны сделать, это настроить аутентификацию Sudo Это создание файла правил. Если ваша версия udev 188 или выше, установите новые правила U2F из GitHub И скопируйте файл 70-u2f.rules в /etc/udev/rules.d.
Если ваша версия udev меньше 188, установите устаревшие правила U2F из GitHub И скопируйте файл u2f.rules 70-летней давности в /etc/udev/rules.d.
Если ваша версия udev 244 или выше или вы создали необходимые файлы правил, вы готовы связать свой YubiKey со своей учетной записью.
Вставьте свой YubiKey в свой компьютер, откройте Терминал и введите следующие команды, чтобы связать свой YubiKey с вашей учетной записью:
mkdir -p ~/.config/Yubicopamu2fcfg > ~/.config/Yubico/u2f_keys
Подождите несколько секунд, пока индикатор на Yubi Switch не начнет мигать. Нажмите кнопку на вашем Yubi Switch, чтобы подтвердить привязку устройства.
Если у вас есть еще один YubiKey, вы должны добавить его в качестве резервного устройства, введя следующую команду и выполнив тот же процесс:
pamu2fcfg -n >> ~/.config/Yubico/u2f_keys
Наконец, вам нужно будет настроить команду Sudo Запросить аутентификацию YubiKey. Вы должны начать с ввода следующей команды, чтобы открыть файл конфигурации sudo:
sudo vi /etc/pam.d/sudo
Когда файл конфигурации откроется, вставьте следующую строку под включить общую аутентификацию Настроить Sudo Чтобы запросить аутентификацию YubiKey:
auth required pam_u2f.so
Сохраните файл и выйдите, нажав Escape и набрав: wq , и нажав Enter , но оставьте Терминал открытым. Вы не сможете отменить изменения, внесенные в аутентификацию. Sudo Если Терминал закрыт.
Откройте другой терминал и выполните следующую команду с отключенным YubiKey, затем введите свой пароль:
sudo echo testing
Процесс аутентификации завершится ошибкой. Введите свой YubiKey и повторно введите команду и пароль. Когда индикатор YubiKey начнет мигать, коснитесь кнопки на вашем YubiKey. Он должен быть одобрен. Если это произойдет, ваш YubiKey настроен для аутентификации. Sudo.
Как настроить YubiKey для аутентификации SSH
Вы также можете использовать YubiKey для аутентификации SSH! Некоторые ключи YubiKey совместимы с SSH, в том числе Series 5 FIPS, 5 Series, 4 FIPS Series и Series 4. Использование YubiKey для аутентификации ваших подключений позволит вам сделать каждый вход по SSH более безопасным.
Лучший способ настроить YubiKey был определен опытным пользователем в Интернете. GitHub. Вам понадобится SSH 8.2 или новее и YubiKey с прошивкой 5.2.3 или новее. Вы можете проверить свою версию OpenSSH и при необходимости обновить ее, используя следующие команды:
ssh -V sudo apt update && sudo apt upgrade
Далее вам нужно будет настроить SSH для приема вашего YubiKey. Введите следующую команду, чтобы открыть редактор vi и изменить файл конфигурации:
sudo vi /etc/ssh/sshd_config
Добавьте следующую строку в файл конфигурации, чтобы ваш YubiKey был принят:
PubkeyAcceptedKeyTypes sk-ecdsa-sha2-nistp256@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com
Сохраните файл и выйдите, нажав Побег , и написать: wq , и нажав Enter. Наконец, перезапустите службу SSH с помощью следующей команды, чтобы новая конфигурация стала активной:
sudo service ssh restart
Наконец, вы готовы сгенерировать пару ключей, которую будете использовать для аутентификации SSH. Перейдите в свой каталог SSH и создайте новый ключ SSH с помощью следующих команд:
cd home/username/.ssh ssh-keygen -t ed25519-sk
В каталоге будут созданы два файла ~ / .ssh /. Обратите внимание, что вам может понадобиться использовать ecdsa-sk вместо ed25519-sk, если ваша система несовместима и регистрация ключа, предложенная терминалом, не удалась.
Далее вам нужно будет добавить открытый ключ на ваш сервер с помощью следующей команды:
ssh-copy-id -i ~/.ssh/id_ed25519_sk.pub username@server
Вы также должны добавить себя в файл sudoers, чтобы сохранить разрешения после отключения входа в систему root. Получите доступ к файлу и откройте его с помощью visudo.
Примечание. Не открывайте файл sudoers в обычном текстовом редакторе.
ниже линии, указывающей на Корень ВСЕ = (ВСЕ: ВСЕ) ВСЕ , добавьте следующую строку:
username ALL=(ALL:ALL) ALL
Открыть файл /etc/ssh/ssd_config Добавьте следующие строки, чтобы отключить вход в систему с правами root и пароль:
ChallengeResponseAuthentication noPermitRootLogin no
Наконец, введите следующую команду, чтобы загрузить свой ключ в прокси-сервер SSH на время сеанса:
ssh-add ~/.ssh/id_ed25519_sk
Теперь вы можете использовать свой YubiKey для аутентификации SSH. Вам нужно будет вставить YubiKey в компьютер, когда будет предложено, и нажать кнопку, когда индикатор начнет мигать. С этим новым методом аутентификации доступ SSH к вашему удаленному серверу будет значительно более безопасным. Проверять Полное руководство по настройке SSH в Linux и тестированию конфигурации.
Другие возможные варианты использования YubiKey
На самом деле нет никаких ограничений на то, как вы можете использовать YubiKey в своей системе Linux. Если вы хотите сделать свой компьютер более безопасным, рассмотрите возможность использования YubiKey для защиты диска или беспарольного шифрования. Вы даже можете использовать его для подписи электронных писем и файлов, если хотите. Проверять Как защитить домашний сервер Linux.
Защитите свою систему Linux с помощью YubiKey
Вам не нужно останавливаться на использовании YubiKey для аутентификации SSH и sudo. Вы также можете использовать свой YubiKey для аутентификации доступа ко многим вашим учетным записям в Интернете. Самое приятное то, что начать работу с YubiKey 2FA очень просто. Вы можете просмотреть сейчас Как установить и настроить Snort IDS в Linux для защиты вашей сети.
