Anns an dreuchd seo, leasaichidh sinn dòigh-obrach airson ruigsinneachd èiginneach gu luchd-aoigheachd SSH a’ cleachdadh iuchraichean tèarainteachd bathar-cruaidh far-loidhne. Is e dìreach aon dòigh-obrach a tha seo, agus faodaidh tu atharrachadh a rèir do fheumalachdan. Glèidhidh sinn an t-ùghdarras teisteanais SSH airson ar luchd-aoigheachd air an iuchair tèarainteachd bathar-cruaidh. Bidh an sgeama seo ag obair air cha mhòr OpenSSH sam bith, a’ gabhail a-steach SSH le soidhneadh singilte.
Carson a tha seo uile? Uill, is e seo an roghainn mu dheireadh. Is e doras cùil a tha seo a leigeas leat faighinn chun t-seirbheisiche agad nuair nach obraich dad airson adhbhar air choireigin.
Carson a chleachdas tu teisteanasan an àite iuchraichean poblach/prìobhaideach airson ruigsinneachd èiginneach?
- Eu-coltach ri iuchraichean poblach, faodaidh beatha fhada a bhith aig teisteanasan. Faodaidh tu teisteanas a ghineadh a tha dligheach airson 1 mionaid no eadhon 5 diogan. Às deidh na h-ùine seo, cha ghabh an teisteanas a chleachdadh airson ceanglaichean ùra. Tha seo air leth freagarrach airson ruigsinneachd èiginneach.
- Faodaidh tu teisteanas a chruthachadh airson cunntas sam bith air na h-aoighean agad agus, ma tha sin riatanach, na teisteanasan “aon-ùine” sin a chuir gu co-obraichean.
Dè a dh ’fheumas tu
- Iuchraichean tèarainteachd bathar-cruaidh a bheir taic do iuchraichean còmhnaidh.
Tha iuchraichean còmhnaidh nan iuchraichean criptografach a tha air an stòradh gu tur taobh a-staigh an iuchair tèarainteachd. Uaireannan bidh iad air an dìon le PIN alphanumeric. Faodar am pàirt phoblach den iuchair còmhnaidh a thoirt a-mach às an iuchair tèarainteachd, gu roghnach còmhla ri làmh an iuchair phrìobhaideach. Mar eisimpleir, tha iuchraichean USB sreath Yubikey 5 a 'toirt taic do iuchraichean còmhnaidh. Tha e ciallach nach eil iad an dùil ach airson ruigsinneachd èiginneach don aoigh. Airson na dreuchd seo cha chleachd mi ach aon iuchair, ach bu chòir gum biodh tè a bharrachd agad airson cùl-taic. - Àite sàbhailte airson na h-iuchraichean sin a stòradh.
- OpenSSH dreach 8.2 no nas àirde air a’ choimpiutair ionadail agad agus air na frithealaichean air a bheil thu airson faighinn gu èiginn. Soithichean Ubuntu 20.04 le OpenSSH 8.2.
- (roghainneil, ach air a mholadh) Inneal CLI airson teisteanasan a sgrùdadh.
Ullachadh
An toiseach, feumaidh tu ùghdarras teisteanais a chruthachadh a bhios suidhichte air an iuchair tèarainteachd bathar-cruaidh. Cuir a-steach an iuchair agus ruith:
$ ssh-keygen -t ecdsa-sk -f sk-user-ca -O resident -C [security key ID]Mar iomradh (-C) chomharraich mi [post-d fo dhìon]mar sin na dìochuimhnich dè an iuchair thèarainteachd dham buin an t-ùghdarras teisteanais seo.
A bharrachd air an iuchair a chur ris an Yubikey, thèid dà fhaidhle a chruthachadh gu h-ionadail:
- sk-user-ca, inneal iuchrach a tha a’ toirt iomradh air an iuchair phrìobhaideach a tha air a stòradh san iuchair tèarainteachd,
- sk-user-ca.pub, a bhios mar an iuchair phoblach airson an ùghdarrais teisteanais agad.
Ach na gabh dragh, tha an Yubikey a’ stòradh iuchair phrìobhaideach eile nach gabh fhaighinn air ais. Mar sin, tha a h-uile dad earbsach an seo.
Air luchd-aoigheachd, mar fhreumh, cuir (mura h-eil thu mar-thà) na leanas ris an rèiteachadh SSHD agad (/etc/ssh/sshd_config):
TrustedUserCAKeys /etc/ssh/ca.pubAn uairsin air an òstair, cuir an iuchair phoblach (sk-user-ca.pub) gu /etc/ssh/ca.pub
Ath-thòisich an daemon:
# /etc/init.d/ssh restartA-nis is urrainn dhuinn feuchainn ri faighinn chun aoigh. Ach an toiseach feumaidh sinn teisteanas. Cruthaich prìomh phaidhir a bhios co-cheangailte ris an teisteanas:
$ ssh-keygen -t ecdsa -f emergencyTeisteanasan agus paidhir SSH
Aig amannan tha e tàmailteach teisteanas a chleachdadh an àite prìomh phaidhir poblach/prìobhaideach. Ach chan eil teisteanas leis fhèin gu leòr airson neach-cleachdaidh a dhearbhadh. Tha iuchair phrìobhaideach aig gach teisteanas co-cheangailte ris cuideachd. Sin as coireach gum feum sinn am prìomh phaidhir “èiginn” seo a ghineadh mus toir sinn teisteanas dhuinn fhìn. Is e an rud cudthromach gun seall sinn an teisteanas soidhnichte don t-seirbheisiche, a’ comharrachadh am prìomh phaidhir air a bheil iuchair phrìobhaideach againn.Mar sin tha iomlaid iuchair phoblach fhathast beò agus gu math. Bidh seo ag obair eadhon le teisteanasan. Bidh teisteanasan dìreach a’ cur às don fheum air an fhrithealaiche iuchraichean poblach a stòradh.
An ath rud, cruthaich an teisteanas fhèin. Feumaidh mi cead neach-cleachdaidh ubuntu taobh a-staigh 10 mionaidean. Faodaidh tu a dhèanamh nad dhòigh.
$ ssh-keygen -s sk-user-ca -I test-key -n ubuntu -V -5m:+5m emergencyThèid iarraidh ort ainm a chuir ris an teisteanas a’ cleachdadh do lorgan-meòir. Faodaidh tu ainmean-cleachdaidh a bharrachd a chur ris air an sgaradh le cromagan, mar eisimpleir -n ubuntu, carl, ec2-user
Sin agad e, a-nis tha teisteanas agad! An uairsin feumaidh tu na ceadan ceart a shònrachadh:
$ chmod 600 emergency-cert.pubÀs deidh seo, chì thu susbaint an teisteanais agad:
$ step ssh inspect emergency-cert.pubSeo mar a tha mo choltas:
emergency-cert.pub
Type: [email protected] user certificate
Public key: ECDSA-CERT SHA256:EJSfzfQv1UK44/LOKhBbuh5oRMqxXGBSr+UAzA7cork
Signing CA: SK-ECDSA SHA256:kLJ7xfTTPQN0G/IF2cq5TB3EitaV4k3XczcBZcLPQ0E
Key ID: "test-key"
Serial: 0
Valid: from 2020-06-24T16:53:03 to 2020-06-24T17:03:03
Principals:
ubuntu
Critical Options: (none)
Extensions:
permit-X11-forwarding
permit-agent-forwarding
permit-port-forwarding
permit-pty
permit-user-rcAn seo is e an iuchair phoblach an iuchair èiginn a chruthaich sinn, agus tha sk-user-ca co-cheangailte ris an ùghdarras teisteanais.
Mu dheireadh tha sinn deiseil airson an òrdugh SSH a ruith:
$ ssh -i emergency ubuntu@my-hostname
ubuntu@my-hostname:~$- Faodaidh tu a-nis teisteanasan a chruthachadh airson cleachdaiche sam bith air òstair anns a bheil earbsa san ùghdarras teisteanais agad.
- Faodaidh tu èiginn a thoirt air falbh. Faodaidh tu sk-user-ca a shàbhaladh, ach chan fheum thu sin oir tha e cuideachd air an iuchair tèarainteachd. Is dòcha gum bi thu airson an iuchair phoblach PEM tùsail a thoirt air falbh bho na h-òstairean agad (mar eisimpleir ann an ~/.ssh/authorized_keys airson an neach-cleachdaidh ubuntu) ma chleachd thu i airson inntrigeadh èiginneach.
Cothrom Èiginn: Plana Gnìomh
Cuir a-steach an iuchair tèarainteachd agus ruith an àithne:
$ ssh-add -KCuiridh seo iuchair phoblach agus prìomh thuairisgeul an ùghdarrais teisteanais ris an àidseant SSH.
A-nis às-mhalairt an iuchair phoblach gus teisteanas a dhèanamh:
$ ssh-add -L | tail -1 > sk-user-ca.pubCruthaich teisteanas le ceann-latha crìochnachaidh, mar eisimpleir, gun a bhith nas fhaide na uair a thìde:
$ ssh-keygen -t ecdsa -f emergency
$ ssh-keygen -Us sk-user-ca.pub -I test-key -n [username] -V -5m:+60m emergency
$ chmod 600 emergency-cert.pubAgus a-nis SSH a-rithist:
$ ssh -i emergency username@hostMa tha am faidhle .ssh/config agad ag adhbhrachadh cuid de dhuilgheadasan nuair a tha thu a’ ceangal, faodaidh tu ssh a ruith leis an -F none roghainn gus a dhol seachad air. Ma dh'fheumas tu teisteanas a chuir gu co-obraiche, is e an roghainn as fhasa agus as tèarainte . Gus seo a dhèanamh, chan fheum thu ach dà fhaidhle - nar cùis, èiginn agus emergency-cert.pub.
Is e an rud as toil leam mun dòigh-obrach seo an taic bathar-cruaidh. Faodaidh tu na h-iuchraichean tèarainteachd agad a chuir ann an sàbhailte agus cha tèid iad gu àite sam bith.
Air na Còraichean Sanasachd
Frithealaichean epic A bheil le pròiseasairean cumhachdach bho AMD, tricead bunaiteach CPU suas gu 3.4 GHz. Leigidh an rèiteachadh as àirde dhut cha mhòr duilgheadas sam bith fhuasgladh - 128 CPU cores, 512 GB RAM, 4000 GB NVMe. Thig còmhla rinn!
Source: www.habr.com