Cum să securizați eficient sistemele Linux folosind YubiKey

Nu ești singur dacă îți faci griji pentru amenințarea din ce în ce mai mare a hackingului. În timp ce solicitările de autentificare și 2FA sunt suficiente pentru a evita majoritatea potențialilor hackeri, mii de încălcări încă reușesc în fiecare zi.

Una dintre cele mai frecvente soluții pentru problema de autentificare este YubiKey. Dar ce este YubiKey și cum funcționează autentificarea hardware? Îți poți securiza computerul Linux cu YubiKey?

De ce să folosiți YubiKey pentru autentificarea hardware?

Există multe tipuri diferite de autentificare, inclusiv parole, autentificare prin SMS și chiar aplicații de autentificare pe care le puteți utiliza cu telefonul. Un tip mai puțin obișnuit este autentificarea hardware, care implică utilizarea unui mic dispozitiv plug-in pentru a trimite un jeton de autentificare atunci când vi se solicită.

YubiKeys și alte dispozitive de autentificare hardware au câteva avantaje față de alte autentificatoare. Sunt mai ușor de utilizat, mult mai sigure și sunt aproape imposibil de compromis fără acces la YubiKey fizic în sine.

Începeți cu Yubikey

Puteți începe cu YubiKey în doar câțiva pași simpli. Ca prim pas, ar trebui să utilizați testul creat de Yubico pentru a cumpăra cea mai bună YubiKey pentru specificațiile dispozitivului dvs. Odată ce aveți YubiKey la îndemână, o puteți utiliza ca dispozitiv de autentificare pentru site-uri web și aplicații.

Îl poți folosi chiar și pentru a autentifica sudo și SSH pe computerul tău Linux. Vă vom explica tot ce trebuie să știți despre alegerea unei YubiKey compatibile cu sudo/SSH și configurarea acesteia pentru autentificare.

Alegerea YubiKey potrivită pentru sistemul dvs

Dacă doriți să utilizați YubiKey pentru autentificare pe computerul dvs. Linux, există câteva YubiKey care se remarcă ca opțiuni superioare. YubiKey 5 și YubiKey 5 NFC sunt ambele clasice care funcționează bine cu sistemele cu USB-A și, respectiv, USB-C.

Dacă doriți să utilizați YubiKey cu computerul Linux și telefonul Android, ar trebui să luați în considerare un YubiKey 5c NFC. Dacă aveți un computer Linux și un iPhone, ar trebui să luați în considerare un YubiKey 5ci, deoarece acceptă USB-C și Lightning.

Este important de reținut că seria YubiHSM nu este compatibilă cu autentificarea sudo. YubiKeys vechi poate fi sau nu compatibil cu autentificarea sudo/SSH, în funcție de caracteristicile lor specifice.

Înainte de a începe cu autentificarea sudo sau SSH, trebuie să instalați YubiKey PPA. Deschide terminalul și introduceți următoarele comenzi pentru a vă actualiza pachetele și pentru a instala YubiKey Authenticator și YubiKey Manager:

sudo add-apt-repository ppa: yubico/stable
sudo apt-get update
sudo apt install yubikey-manager libpam-yubico libpam-u2f

Apoi, va trebui să verificați dacă sistemul dvs. este gata să funcționeze cu YubiKey. Rulați următoarea comandă în terminal pentru a verifica versiunea udev:

sudo udevadm --version

Terminalul va returna un număr. Dacă numărul este 244 sau mai mare, sistemul dumneavoastră este compatibil cu YubiKey. Puteți sări peste pasul următor în acest caz.

În caz contrar, va trebui să vă configurați sistemul. Ar trebui să utilizați următoarele comenzi pentru a verifica dacă udev este instalat pe computerul dvs. și pentru a-l instala dacă nu este:

dpkg -s libu2f-udev
sudo apt install libu2f-udev

Apoi, verificați dacă interfața U2F a YubiKey este deblocată. Dacă aveți un YubiKey NEO sau YubiKey NEO-n, introduceți YubiKey, deschideți YubiKey Manager și navigați la Interfețe. Activați interfață U2F și apăsați Salvați.

Configurați YubiKey pentru autentificarea sudo pe Linux

sudo este una dintre cele mai periculoase comenzi din mediul Linux. În mâinile potrivite, oferă un nivel impresionant de acces care este suficient pentru a duce la bun sfârșit majoritatea lucrărilor. În mâinile greșite, accesul la nivel de rădăcină oferit de sudo poate permite utilizatorilor rău intenționați să exploateze sau să distrugă un sistem.

YubiKey-urile sunt excelente pentru autentificarea sudo, deoarece autentificarea lor este aproape imposibil de replicat fără acces la YubiKey în sine. Majoritatea YubiKey-urilor sunt compatibile cu autentificarea sudo, inclusiv Seria 5 FIP, Seria Cheie, Seria 4 FIP, Seria Bio, Seria 5 și Seria 4.

Conform Yubico, primul pas pe care trebuie să-l faceți pentru a configura autentificarea sudo este crearea unui fișier de reguli. Dacă versiunea dvs. udev este 188 sau mai mare, instalați noile reguli U2F de la GitHub și copiați 70-u2f.reguli dosar la /etc/udev/rules.d.

Dacă versiunea dvs. udev este sub 188, instalați regulile U2F vechi de la GitHub și copiați 70-vechi-u2f.reguli dosar la /etc/udev/rules.d.

Dacă versiunea dvs. udev este 244 sau mai mare sau ați creat fișierele de reguli necesare, sunteți gata să vă conectați YubiKey la contul dvs.

Introduceți YubiKey în computer, deschideți terminalul și introduceți următoarele comenzi pentru a vă conecta YubiKey la contul dvs.:

mkdir -p ~/.config/Yubicopamu2fcfg > ~/.config/Yubico/u2f_keys

Așteptați câteva momente până când indicatorul luminos de pe YubiKey începe să clipească. Atingeți butonul de pe YubiKey pentru a confirma legătura dispozitivului.

Dacă aveți o altă YubiKey la îndemână, ar trebui să o adăugați ca dispozitiv de rezervă, introducând următoarea comandă și completând același proces:

pamu2fcfg -n >> ~/.config/Yubico/u2f_keys

În cele din urmă, va trebui să configurați comanda sudo pentru a solicita autentificarea YubiKey. Ar trebui să începeți prin a introduce următoarea comandă pentru a deschide fișierul de configurare sudo:

sudo vi /etc/pam.d/sudo

Odată ce fișierul de configurare este deschis, lipiți următoarea linie chiar sub @include common-auth linie pentru a configura sudo pentru a necesita autentificare YubiKey:

auth required pam_u2f.so

Salvați și ieșiți din fișier apăsând Evadare, tastare :wq, și apăsând introduce, dar păstrați terminalul deschis. Nu veți putea anula modificările pe care le-ați făcut la autentificarea sudo dacă terminalul se închide.

Deschideți un al doilea terminal și rulați următoarea comandă cu YubiKey deconectat, apoi introduceți parola:

testare sudo ecou

Procesul de autentificare va eșua. Introduceți YubiKey și reintroduceți comanda și parola. Când indicatorul luminos YubiKey începe să clipească, atingeți butonul de pe YubiKey. Ar trebui să autentifice comanda. Dacă se întâmplă, YubiKey este complet configurat pentru autentificare sudo.

Cum să configurați YubiKey pentru autentificarea SSH

Puteți folosi YubiKey și pentru autentificarea SSH! Mai multe serii YubiKey sunt compatibile cu SSH, inclusiv seriile 5 FIPS, 5 Series, 4 FIPS Series și 4 Series. Folosirea YubiKey pentru a vă autentifica conexiunile vă va permite face fiecare conectare SSH mult mai sigură.

Cea mai bună metodă de configurare a YubiKey a fost prezentată de un utilizator experimentat pe GitHub. Veți avea nevoie de SSH 8.2 sau mai nou și de un YubiKey cu firmware 5.2.3 sau mai nou. Puteți verifica versiunea OpenSSH și o puteți actualiza dacă este necesar, cu următoarele comenzi:

ssh -V
sudo apt update && sudo apt upgrade

Apoi, va trebui să configurați SSH pentru a vă accepta YubiKey. Introduceți următoarea comandă pentru deschideți editorul vi și editați fișierul de configurare:

sudo vi /etc/ssh/sshd_config

Adăugați următoarea linie la fișierul de configurare, astfel încât YubiKey să fie acceptat:

PubkeyAcceptedKeyTypes [email protected], [email protected]

Salvați și ieșiți din fișier apăsând Evadare, tastare :wq, și lovind introduce. În cele din urmă, reporniți serviciul SSH cu următoarea comandă, astfel încât noua configurație să devină activă:

sudo service ssh restart

În cele din urmă, sunteți gata să creați perechea de chei pe care o veți folosi pentru autentificarea SSH. Navigați la directorul SSH și creați-vă noua cheie SSH cu următoarele comenzi:

cd home/nume utilizator/.ssh
ssh-keygen -t ed25519-sk

Două fișiere vor fi create în ~/.ssh/ director. Rețineți că poate fi necesar să utilizați ecdsa-sk în loc de ed25519-sk dacă sistemul dvs. este incompatibil și terminalul solicită înregistrarea cheii a eșuat.

Apoi, va trebui să adăugați cheia publică la serverul dvs. cu următoarea comandă:

ssh-copy-id -i ~/.ssh/id_ed25519_sk.pub nume utilizator@server

De asemenea, ar trebui să vă adăugați la fișierul sudoers, astfel încât să păstrați permisiunile după dezactivarea autentificarii root. Accesați fișierul și deschideți-l cu visudo.

Nu deschideți fișierul sudoers cu un editor de text normal.

Sub linia care scrie root ALL=(ALL: ALL) ALL, adăugați următorul rând:

nume de utilizator ALL=(ALL: ALL) ALL

Deschide /etc/ssh/ssd_config fișier și adăugați următoarele linii pentru a dezactiva autentificarea root și autentificarea bazată pe parolă:

ChallengeResponseAuthentication noPermitRootLogin nr

În cele din urmă, introduceți următoarea comandă pentru a vă încărca cheia în agentul SSH pe durata sesiunii:

ssh-add ~/.ssh/id_ed25519_sk

Acum puteți utiliza YubiKey pentru autentificare SSH. Va trebui să introduceți YubiKey în computer când vi se solicită și să atingeți butonul când indicatorul clipește. Cu această nouă metodă de autentificare, accesul SSH la serverul dvs. de la distanță va fi mult mai sigur.

Alte utilizări potențiale ale YubiKey

Nu există nicio limită reală pentru modul în care puteți utiliza YubiKey pe sistemul dvs. Linux. Dacă doriți să vă faceți PC-ul foarte sigur, luați în considerare utilizarea YubiKey pentru criptare fără parolă sau disc. Îl puteți folosi chiar și pentru a semna e-mailuri și fișiere, dacă doriți.

Asigurați-vă sistemul Linux cu YubiKey

Nu trebuie să vă opriți doar la utilizarea YubiKey pentru autentificare SSH și sudo. De asemenea, puteți utiliza YubiKey pentru autentificarea accesului la multe dintre conturile dvs. de pe web. Cea mai bună parte este că începerea utilizării YubiKey 2FA este un proces simplu.