Hardware-gakoekin SSH ostalarietara larrialdietarako sarbidea izateko prozedura agintzen dugu

Argitalpen honetan, SSH ostalarietarako larrialdietarako sarbidea izateko prozedura garatuko dugu lineaz kanpo hardwareko segurtasun-giltzak erabiliz. Hau ikuspegi bat besterik ez da, eta zure beharretara egokitu dezakezu. Gure ostalarientzako SSH ziurtagiri-agintaritzak hardwareko segurtasun-gakoan gordeko ditugu. Eskema honek ia edozein OpenSSHtan funtzionatuko du, SSH barne saio-hasialdi bakarrarekin.

Zertarako da hau guztia? Beno, hau azken aukera bat da. Hau zure zerbitzarian sartzeko aukera emango dizun atzeko atea da, arrazoiren batengatik beste ezerk funtzionatzen duenean.

Zergatik erabili ziurtagiriak gako publiko/pribatuen ordez larrialdietarako sarbidea izateko?

• Gako publikoek ez bezala, ziurtagiriek oso bizitza laburra izan dezakete. Minutu 1 edo 5 segundo balio duen ziurtagiri bat sor dezakezu. Epe hori igarota, ziurtagiria ezinezkoa izango da konexio berrietarako. Hau aproposa da larrialdietarako sarbidea izateko.
• Zure ostalarietako edozein kontutarako ziurtagiri bat sor dezakezu eta, behar izanez gero, "aldi baterako" ziurtagiri horiek lankideei bidali.

Behar duzuna

• Egoiliarren gakoak onartzen dituzten hardware-segurtasun-giltzak.
  Egoiliarren gakoak segurtasun-giltzaren barruan guztiz gordetzen diren gako kriptografikoak dira. Batzuetan PIN alfanumeriko baten bidez babestuta daude. Egoiliar-gakoaren zati publikoa segurtasun-giltzatik esporta daiteke, aukeran gako pribatuaren heldulekuarekin batera. Adibidez, Yubikey 5 serieko USB gakoek egoiliarren giltzak onartzen dituzte. Komeni da ostalariaren larrialdietarako sarbiderako soilik izatea. Argitalpen honetarako gako bakarra erabiliko dut, baina beste bat izan beharko zenuke babeskopia egiteko.
• Leku segurua giltza horiek gordetzeko.
• OpenSSH 8.2 bertsioa edo berriagoa zure tokiko ordenagailuan eta larrialdietarako sarbidea izan nahi duzun zerbitzarietan. Ubuntu 20.04 OpenSSH 8.2-rekin dator.
• (aukerakoa, baina gomendagarria) Ziurtagiriak egiaztatzeko CLI tresna.

Prestakuntza

Lehenik eta behin, hardwarearen segurtasun-gakoan kokatuko den ziurtagiri-agintari bat sortu behar duzu. Sartu gakoa eta exekutatu:

$ ssh-keygen -t ecdsa-sk -f sk-user-ca -O resident -C [security key ID]

Iruzkin gisa (-C) adierazi nuen [posta elektroniko bidez babestua]beraz, ez duzu ahaztu zer segurtasun-giltzari dagokion autoritate ziurtagiri-emaile hau.

Yubikey-ri gakoa gehitzeaz gain, bi fitxategi sortuko dira lokalean:

1. sk-user-ca, segurtasun-giltzan gordetako gako pribatuari erreferentzia egiten dion gako-heldulekua,
2. sk-user-ca.pub, zure agintaritza ziurtagiri-emailearen gako publikoa izango dena.

Baina ez kezkatu, Yubikey-k berreskuratu ezin den beste gako pribatu bat gordetzen du. Beraz, hemen dena fidagarria da.

Ostalarietan, root gisa, gehitu (oraindik ez baduzu) honako hau zure SSHD konfigurazioan (/etc/ssh/sshd_config):

TrustedUserCAKeys /etc/ssh/ca.pub

Ondoren, ostalarian, gehitu gako publikoa (sk-user-ca.pub) /etc/ssh/ca.pub

Berrabiarazi deabrua:

# /etc/init.d/ssh restart

Orain ostalarira sartzen saia gaitezke. Baina lehenik ziurtagiri bat behar dugu. Sortu ziurtagiriarekin elkartuko den gako-pare bat:

$ ssh-keygen -t ecdsa -f emergency

Ziurtagiriak eta SSH bikoteak
Batzuetan tentagarria da ziurtagiri bat erabiltzea gako publiko/pribatu baten ordezko gisa. Baina ziurtagiri bat bakarrik ez da nahikoa erabiltzailea autentifikatzeko. Ziurtagiri bakoitzak gako pribatu bat ere badu lotuta. Horregatik sortu behar dugu "larrialdi" gako-bikote hori geure buruari ziurtagiria eman aurretik. Garrantzitsuena zerbitzariari sinatutako ziurtagiria erakusten diogula da, gako pribatua dugun gako bikotea adieraziz.

Beraz, gako publikoen trukea bizirik dago oraindik. Horrek ziurtagiriekin ere funtzionatzen du. Ziurtagiriek zerbitzariak gako publikoak gordetzeko beharra ezabatzen dute.

Ondoren, sortu ziurtagiria bera. Ubuntu erabiltzailearen baimena behar dut 10 minutuko tartean. Zure erara egin dezakezu.

$ ssh-keygen -s sk-user-ca -I test-key -n ubuntu -V -5m:+5m emergency

Ziurtagiria hatz-marka erabiliz sinatzeko eskatuko zaizu. Erabiltzaile-izen gehigarriak gehi ditzakezu komaz bereizita, adibidez -n ubuntu,carl,ec2-user

Hori da, orain ziurtagiria duzu! Ondoren, baimen egokiak zehaztu behar dituzu:

$ chmod 600 emergency-cert.pub

Horren ondoren, zure ziurtagiriaren edukia ikus dezakezu:

$ step ssh inspect emergency-cert.pub

Hau da nire itxura:

emergency-cert.pub
        Type: [email protected] user certificate
        Public key: ECDSA-CERT SHA256:EJSfzfQv1UK44/LOKhBbuh5oRMqxXGBSr+UAzA7cork
        Signing CA: SK-ECDSA SHA256:kLJ7xfTTPQN0G/IF2cq5TB3EitaV4k3XczcBZcLPQ0E
        Key ID: "test-key"
        Serial: 0
        Valid: from 2020-06-24T16:53:03 to 2020-06-24T17:03:03
        Principals:
                ubuntu
        Critical Options: (none)
        Extensions:
                permit-X11-forwarding
                permit-agent-forwarding
                permit-port-forwarding
                permit-pty
                permit-user-rc

Hemen gako publikoa guk sortu dugun larrialdi-gakoa da, eta sk-user-ca ziurtagiri-agintaritzari lotuta dago.

Azkenik SSH komandoa exekutatzeko prest gaude:

$ ssh -i emergency ubuntu@my-hostname
ubuntu@my-hostname:~$

1. Orain zure autoritate ziurtagiri-emaile fidagarria den ostalari bateko edozein erabiltzailerentzat ziurtagiriak sor ditzakezu.
2. Larrialdia kendu dezakezu. sk-user-ca gorde dezakezu, baina ez duzu beharrik segurtasun-giltzan baitago. Baliteke jatorrizko PEM gako publikoa zure ostalarietatik kendu nahi izatea (adibidez, ~/.ssh/authorized_keys ubuntu erabiltzailearentzat) larrialdietarako sarbidea erabili baduzu.

Larrialdietarako sarbidea: Ekintza Plana

Itsatsi segurtasun-giltza eta exekutatu komandoa:

$ ssh-add -K

Honek autoritate ziurtagiri-emailearen gako publikoa eta gako deskribatzailea gehituko dizkio SSH agenteari.

Orain esportatu gako publikoa ziurtagiri bat egiteko:

$ ssh-add -L | tail -1 > sk-user-ca.pub

Sortu ziurtagiri bat iraungitze-data duena, adibidez, ordubete baino gehiagokoa:

$ ssh-keygen -t ecdsa -f emergency
$ ssh-keygen -Us sk-user-ca.pub -I test-key -n [username] -V -5m:+60m emergency
$ chmod 600 emergency-cert.pub

Eta orain SSH berriro:

$ ssh -i emergency username@host

Zure .ssh/config fitxategiak konektatzean arazo batzuk sortzen baditu, ssh exekutatu dezakezu -F none aukerarekin saihesteko. Lankide bati ziurtagiria bidali behar badiozu, aukerarik errazena eta seguruena da Zizare-zulo magikoa. Horretarako, bi fitxategi baino ez dituzu behar: gure kasuan, emergency eta emergency-cert.pub.

Ikuspegi honi buruz gustatzen zaidana hardwarearen euskarria da. Zure segurtasun-giltzak kutxa seguru batean jar ditzakezu eta ez dira inora joango.

Publizitatearen Eskubideei buruz

Zerbitzari epikoak - Is VPS merkea AMD-ren prozesadore indartsuekin, PUZaren nukleoaren maiztasuna 3.4 GHz arte. Gehienezko konfigurazioak ia edozein arazo konpontzeko aukera ematen du: 128 CPU nukleoak, 512 GB RAM, 4000 GB NVMe. Batu zaitez!

Iturria: www.habr.com