আমরা হার্ডওয়্যার কী সহ SSH হোস্টে জরুরী অ্যাক্সেসের জন্য একটি পদ্ধতি নির্ধারণ করি

এই পোস্টে, আমরা অফলাইনে হার্ডওয়্যার নিরাপত্তা কী ব্যবহার করে SSH হোস্টে জরুরি অ্যাক্সেসের জন্য একটি পদ্ধতি তৈরি করব। এটি শুধুমাত্র একটি পদ্ধতি, এবং আপনি এটিকে আপনার প্রয়োজন অনুসারে মানিয়ে নিতে পারেন। আমরা হার্ডওয়্যার নিরাপত্তা কী-তে আমাদের হোস্টের জন্য SSH শংসাপত্র কর্তৃপক্ষ সংরক্ষণ করব। এই স্কিমটি একক সাইন-অন সহ SSH সহ প্রায় যেকোনো OpenSSH-এ কাজ করবে।

এই সব কি জন্য? ওয়েল, এটি একটি শেষ অবলম্বন বিকল্প. এটি একটি ব্যাকডোর যা আপনাকে আপনার সার্ভারে অ্যাক্সেস পেতে দেয় যখন কোনো কারণে অন্য কিছু কাজ করে না।

কেন জরুরী অ্যাক্সেসের জন্য পাবলিক/প্রাইভেট কীগুলির পরিবর্তে সার্টিফিকেট ব্যবহার করবেন?

• সর্বজনীন কীগুলির বিপরীতে, শংসাপত্রের জীবনকাল খুব কম হতে পারে। আপনি একটি শংসাপত্র তৈরি করতে পারেন যা 1 মিনিট বা এমনকি 5 সেকেন্ডের জন্য বৈধ। এই সময়ের পরে, শংসাপত্রটি নতুন সংযোগের জন্য অনুপযোগী হয়ে যাবে। এটি জরুরী অ্যাক্সেসের জন্য আদর্শ।
• আপনি আপনার হোস্টে যে কোনও অ্যাকাউন্টের জন্য একটি শংসাপত্র তৈরি করতে পারেন এবং প্রয়োজনে সহকর্মীদের কাছে এই ধরনের "এককালীন" শংসাপত্র পাঠাতে পারেন।

আপনার যা দরকার

• হার্ডওয়্যার নিরাপত্তা কী যা আবাসিক কী সমর্থন করে।
  আবাসিক কীগুলি হল ক্রিপ্টোগ্রাফিক কী যা সম্পূর্ণ নিরাপত্তা কী-এর মধ্যে সংরক্ষিত থাকে৷ কখনও কখনও তারা একটি আলফানিউমেরিক পিন দ্বারা সুরক্ষিত হয়। আবাসিক কী-এর সর্বজনীন অংশ নিরাপত্তা কী থেকে রপ্তানি করা যেতে পারে, ঐচ্ছিকভাবে ব্যক্তিগত কী হ্যান্ডেলের সাথে। উদাহরণস্বরূপ, Yubikey 5 সিরিজের USB কীগুলি আবাসিক কীগুলিকে সমর্থন করে৷ এটি পরামর্শ দেওয়া হয় যে সেগুলি হোস্টে জরুরী অ্যাক্সেসের জন্যই তৈরি করা হয়েছে৷ এই পোস্টের জন্য আমি শুধুমাত্র একটি কী ব্যবহার করব, তবে আপনার ব্যাকআপের জন্য একটি অতিরিক্ত কী থাকা উচিত।
• সেই চাবিগুলি সংরক্ষণ করার জন্য একটি নিরাপদ জায়গা।
• OpenSSH সংস্করণ 8.2 বা উচ্চতর আপনার স্থানীয় কম্পিউটারে এবং সার্ভারগুলিতে আপনি জরুরি অ্যাক্সেস পেতে চান। উবুন্টু 20.04 ওপেনএসএইচ 8.2 সহ জাহাজে করে।
• (ঐচ্ছিক, কিন্তু প্রস্তাবিত) সার্টিফিকেট চেক করার জন্য একটি CLI টুল।

প্রশিক্ষণ

প্রথমত, আপনাকে একটি সার্টিফিকেশন অথরিটি তৈরি করতে হবে যা হার্ডওয়্যার নিরাপত্তা কী-তে অবস্থিত হবে। কী ঢোকান এবং চালান:

$ ssh-keygen -t ecdsa-sk -f sk-user-ca -O resident -C [security key ID]

একটি মন্তব্য হিসাবে (-C) আমি ইঙ্গিত [ইমেল সুরক্ষিত]তাই আপনি ভুলে যাবেন না যে এই শংসাপত্র কর্তৃপক্ষের কোন নিরাপত্তা কী।

Yubikey-তে কী যোগ করার পাশাপাশি, দুটি ফাইল স্থানীয়ভাবে তৈরি করা হবে:

1. sk-user-ca, একটি কী হ্যান্ডেল যা নিরাপত্তা কী-তে সংরক্ষিত ব্যক্তিগত কীকে বোঝায়,
2. sk-user-ca.pub, যা আপনার শংসাপত্র কর্তৃপক্ষের জন্য সর্বজনীন কী হবে।

কিন্তু চিন্তা করবেন না, Yubikey আরেকটি ব্যক্তিগত কী সঞ্চয় করে যা পুনরুদ্ধার করা যাবে না। অতএব, এখানে সবকিছু নির্ভরযোগ্য।

হোস্টে, রুট হিসাবে, আপনার SSHD কনফিগারেশনে (/etc/ssh/sshd_config) নিম্নলিখিতগুলি যোগ করুন (যদি আপনার ইতিমধ্যে না থাকে):

TrustedUserCAKeys /etc/ssh/ca.pub

তারপর হোস্টে, পাবলিক কী (sk-user-ca.pub) যোগ করুন /etc/ssh/ca.pub-এ

ডেমন পুনরায় চালু করুন:

# /etc/init.d/ssh restart

এখন আমরা হোস্ট অ্যাক্সেস করার চেষ্টা করতে পারেন. তবে প্রথমে আমাদের একটি সার্টিফিকেট দরকার। একটি মূল জোড়া তৈরি করুন যা শংসাপত্রের সাথে যুক্ত হবে:

$ ssh-keygen -t ecdsa -f emergency

শংসাপত্র এবং SSH জোড়া
কখনও কখনও এটি একটি পাবলিক/প্রাইভেট কী জোড়ার প্রতিস্থাপন হিসাবে একটি শংসাপত্র ব্যবহার করতে প্রলুব্ধ হয়। কিন্তু শুধুমাত্র একটি শংসাপত্রই একজন ব্যবহারকারীকে প্রমাণীকরণের জন্য যথেষ্ট নয়। প্রতিটি শংসাপত্রের সাথে যুক্ত একটি ব্যক্তিগত কীও রয়েছে৷ এই কারণেই আমরা নিজেদেরকে একটি শংসাপত্র ইস্যু করার আগে আমাদের এই "জরুরি" কী জোড়া তৈরি করতে হবে৷ গুরুত্বপূর্ণ বিষয় হল যে আমরা সার্ভারে স্বাক্ষরিত শংসাপত্রটি দেখাই, যে কী জোড়ার জন্য আমাদের একটি ব্যক্তিগত কী রয়েছে তা নির্দেশ করে।

তাই পাবলিক কী বিনিময় এখনও জীবিত এবং ভাল. এটি শংসাপত্রের সাথেও কাজ করে। সার্টিফিকেট শুধুমাত্র সার্ভারের সার্ভারের জন্য সার্বজনীন কী সংরক্ষণের প্রয়োজনীয়তা দূর করে।

এর পরে, শংসাপত্র নিজেই তৈরি করুন। আমার 10 মিনিটের ব্যবধানে উবুন্টু ব্যবহারকারীর অনুমোদন দরকার। আপনি এটা আপনার মত করতে পারেন.

$ ssh-keygen -s sk-user-ca -I test-key -n ubuntu -V -5m:+5m emergency

আপনাকে আপনার আঙুলের ছাপ ব্যবহার করে শংসাপত্রে স্বাক্ষর করতে বলা হবে। আপনি কমা দ্বারা পৃথক করা অতিরিক্ত ব্যবহারকারীর নাম যোগ করতে পারেন, উদাহরণস্বরূপ -n ubuntu,carl,ec2-user

এটাই, এখন আপনার কাছে একটি সার্টিফিকেট আছে! পরবর্তীতে আপনাকে সঠিক অনুমতিগুলি নির্দিষ্ট করতে হবে:

$ chmod 600 emergency-cert.pub

এর পরে, আপনি আপনার শংসাপত্রের বিষয়বস্তু দেখতে পারেন:

$ step ssh inspect emergency-cert.pub

এটি আমার মত দেখাচ্ছে:

emergency-cert.pub
        Type: [email protected] user certificate
        Public key: ECDSA-CERT SHA256:EJSfzfQv1UK44/LOKhBbuh5oRMqxXGBSr+UAzA7cork
        Signing CA: SK-ECDSA SHA256:kLJ7xfTTPQN0G/IF2cq5TB3EitaV4k3XczcBZcLPQ0E
        Key ID: "test-key"
        Serial: 0
        Valid: from 2020-06-24T16:53:03 to 2020-06-24T17:03:03
        Principals:
                ubuntu
        Critical Options: (none)
        Extensions:
                permit-X11-forwarding
                permit-agent-forwarding
                permit-port-forwarding
                permit-pty
                permit-user-rc

এখানে পাবলিক কী হল আমাদের তৈরি করা জরুরি কী, এবং sk-user-ca সার্টিফিকেশন কর্তৃপক্ষের সাথে যুক্ত।

অবশেষে আমরা SSH কমান্ড চালানোর জন্য প্রস্তুত:

$ ssh -i emergency ubuntu@my-hostname
ubuntu@my-hostname:~$

1. আপনি এখন আপনার শংসাপত্র কর্তৃপক্ষকে বিশ্বাস করে এমন একটি হোস্টে যেকোনো ব্যবহারকারীর জন্য শংসাপত্র তৈরি করতে পারেন৷
2. আপনি জরুরী অপসারণ করতে পারেন. আপনি sk-user-ca সংরক্ষণ করতে পারেন, কিন্তু আপনার প্রয়োজন নেই যেহেতু এটি নিরাপত্তা কী-তেও রয়েছে। আপনি আপনার হোস্ট থেকে মূল PEM সর্বজনীন কী (উদাহরণস্বরূপ উবুন্টু ব্যবহারকারীর জন্য ~/.ssh/authorized_keys-এ) সরাতে চাইতে পারেন যদি আপনি এটি জরুরি অ্যাক্সেসের জন্য ব্যবহার করেন।

জরুরী অ্যাক্সেস: কর্ম পরিকল্পনা

নিরাপত্তা কী আটকান এবং কমান্ড চালান:

$ ssh-add -K

এটি SSH এজেন্টে শংসাপত্র কর্তৃপক্ষের সর্বজনীন কী এবং কী বর্ণনাকারী যোগ করবে।

এখন একটি শংসাপত্র তৈরি করতে সর্বজনীন কী রপ্তানি করুন:

$ ssh-add -L | tail -1 > sk-user-ca.pub

মেয়াদ শেষ হওয়ার তারিখ সহ একটি শংসাপত্র তৈরি করুন, উদাহরণস্বরূপ, এক ঘণ্টার বেশি নয়:

$ ssh-keygen -t ecdsa -f emergency
$ ssh-keygen -Us sk-user-ca.pub -I test-key -n [username] -V -5m:+60m emergency
$ chmod 600 emergency-cert.pub

এবং এখন আবার SSH:

$ ssh -i emergency username@host

যদি আপনার .ssh/config ফাইলটি সংযোগ করার সময় কিছু সমস্যা সৃষ্টি করে, আপনি এটিকে বাইপাস করার জন্য -F none বিকল্পের সাথে ssh চালাতে পারেন। আপনি যদি একজন সহকর্মীর কাছে একটি শংসাপত্র পাঠাতে চান তবে সবচেয়ে সহজ এবং সবচেয়ে নিরাপদ বিকল্পটি হল ম্যাজিক ওয়ার্মহোল. এটি করার জন্য, আপনার শুধুমাত্র দুটি ফাইল প্রয়োজন - আমাদের ক্ষেত্রে, জরুরি এবং জরুরি-cert.pub।

আমি এই পদ্ধতির সম্পর্কে যা পছন্দ করি তা হল হার্ডওয়্যার সমর্থন। আপনি আপনার নিরাপত্তা কীগুলি একটি নিরাপদে রাখতে পারেন এবং সেগুলি কোথাও যাবে না৷

বিজ্ঞাপনের অধিকারগুলিতে

এপিক সার্ভার - এটা সস্তা ভিপিএস AMD থেকে শক্তিশালী প্রসেসর সহ, 3.4 GHz পর্যন্ত CPU কোর ফ্রিকোয়েন্সি। সর্বাধিক কনফিগারেশন আপনাকে প্রায় যেকোনো সমস্যা সমাধান করতে দেয় - 128 CPU কোর, 512 GB RAM, 4000 GB NVMe। আমাদের সাথে যোগ দাও!

উত্স: www.habr.com