אנו קובעים נוהל לגישה חירום למארחי SSH עם מפתחות חומרה

בפוסט זה, נפתח נוהל לגישה חירום למארחי SSH באמצעות מפתחות אבטחת חומרה במצב לא מקוון. זוהי רק גישה אחת, ואתה יכול להתאים אותה לצרכים שלך. נאחסן את רשות האישורים של SSH עבור המארחים שלנו על מפתח האבטחה של החומרה. סכימה זו תעבוד כמעט על כל OpenSSH, כולל SSH עם כניסה יחידה.

בשביל מה כל זה? ובכן, זו אפשרות מוצא אחרון. זוהי דלת אחורית שתאפשר לך לקבל גישה לשרת שלך כאשר מסיבה כלשהי שום דבר אחר לא עובד.

מדוע להשתמש בתעודות במקום מפתחות ציבוריים/פרטיים לגישה לשעת חירום?

• בניגוד למפתחות ציבוריים, לאישורים אורך חיים קצר מאוד. אתה יכול להפיק אישור שתקף לדקה אחת או אפילו 1 שניות. לאחר תקופה זו, האישור לא יהיה שמיש עבור חיבורים חדשים. זה אידיאלי עבור גישה חירום.
• אתה יכול ליצור אישור עבור כל חשבון במארחים שלך, ובמידת הצורך לשלוח אישורים "חד פעמיים" כאלה לעמיתים.

מה שאתה צריך

• מפתחות אבטחת חומרה התומכים במפתחות תושב.
  מפתחות תושבים הם מפתחות קריפטוגרפיים המאוחסנים במלואם בתוך מפתח האבטחה. לפעמים הם מוגנים באמצעות PIN אלפאנומרי. ניתן לייצא את החלק הציבורי של מפתח התושב ממפתח האבטחה, אופציונלי יחד עם ידית המפתח הפרטי. לדוגמה, מפתחות USB מסדרת Yubikey 5 תומכים במפתחות תושב. רצוי שהם מיועדים רק לגישה חירום למארח. עבור הפוסט הזה אשתמש רק במפתח אחד, אבל צריך להיות לך אחד נוסף לגיבוי.
• מקום בטוח לאחסן את המפתחות האלה.
• OpenSSH גרסה 8.2 ומעלה במחשב המקומי שלך ובשרתים שאליהם ברצונך לקבל גישה לשעת חירום. אובונטו 20.04 נשלח עם OpenSSH 8.2.
• (אופציונלי, אך מומלץ) כלי CLI לבדיקת תעודות.

הדרכה

ראשית, עליך ליצור רשות אישור שתהיה ממוקמת על מפתח האבטחה של החומרה. הכנס את המפתח והפעל:

$ ssh-keygen -t ecdsa-sk -f sk-user-ca -O resident -C [security key ID]

כהערה (-ג) ציינתי [מוגן בדוא"ל]כדי שלא תשכח לאיזה מפתח אבטחה שייכת רשות האישורים הזו.

בנוסף להוספת המפתח ל- Yubikey, שני קבצים יופקו באופן מקומי:

1. sk-user-ca, ידית מפתח המתייחסת למפתח הפרטי המאוחסן במפתח האבטחה,
2. sk-user-ca.pub, שיהיה המפתח הציבורי של רשות האישורים שלך.

אבל אל דאגה, ה- Yubikey מאחסן מפתח פרטי נוסף שלא ניתן לאחזר. לכן הכל אמין כאן.

במארחים, כשורש, הוסף (אם עדיין לא עשית זאת) את הדברים הבאים לתצורת ה-SSHD שלך (/etc/ssh/sshd_config):

TrustedUserCAKeys /etc/ssh/ca.pub

לאחר מכן במארח, הוסף את המפתח הציבורי (sk-user-ca.pub) ל-/etc/ssh/ca.pub

הפעל מחדש את הדמון:

# /etc/init.d/ssh restart

כעת נוכל לנסות לגשת למארח. אבל קודם צריך תעודה. צור זוג מפתחות שישויך לאישור:

$ ssh-keygen -t ecdsa -f emergency

תעודות וזוגות SSH
לפעמים זה מפתה להשתמש בתעודה כתחליף לזוג מפתחות ציבורי/פרטי. אבל אישור לבדו אינו מספיק כדי לאמת משתמש. לכל תעודה יש ​​גם מפתח פרטי המשויך אליו. זו הסיבה שעלינו ליצור צמד מפתחות "חירום" זה לפני שאנו מוציאים לעצמנו תעודה. הדבר החשוב הוא שנראה את האישור החתום לשרת, תוך ציון זוג המפתחות עבורו יש לנו מפתח פרטי.

אז החלפת מפתחות ציבורית עדיין חיה וקיימת. זה עובד אפילו עם תעודות. אישורים פשוט מבטלים את הצורך בשרת לאחסן מפתחות ציבוריים.

לאחר מכן, צור את האישור עצמו. אני צריך הרשאת משתמש אובונטו במרווח של 10 דקות. אתה יכול לעשות את זה בדרך שלך.

$ ssh-keygen -s sk-user-ca -I test-key -n ubuntu -V -5m:+5m emergency

תתבקש לחתום על האישור באמצעות טביעת האצבע שלך. אתה יכול להוסיף שמות משתמש נוספים מופרדים בפסיקים, למשל -n ubuntu,carl,ec2-user

זהו, עכשיו יש לך תעודה! לאחר מכן עליך לציין את ההרשאות הנכונות:

$ chmod 600 emergency-cert.pub

לאחר מכן, תוכל לראות את תוכן התעודה שלך:

$ step ssh inspect emergency-cert.pub

כך נראה שלי:

emergency-cert.pub
        Type: [email protected] user certificate
        Public key: ECDSA-CERT SHA256:EJSfzfQv1UK44/LOKhBbuh5oRMqxXGBSr+UAzA7cork
        Signing CA: SK-ECDSA SHA256:kLJ7xfTTPQN0G/IF2cq5TB3EitaV4k3XczcBZcLPQ0E
        Key ID: "test-key"
        Serial: 0
        Valid: from 2020-06-24T16:53:03 to 2020-06-24T17:03:03
        Principals:
                ubuntu
        Critical Options: (none)
        Extensions:
                permit-X11-forwarding
                permit-agent-forwarding
                permit-port-forwarding
                permit-pty
                permit-user-rc

כאן המפתח הציבורי הוא מפתח החירום שיצרנו, ו-sk-user-ca משויך לרשות האישורים.

לבסוף אנחנו מוכנים להפעיל את פקודת SSH:

$ ssh -i emergency ubuntu@my-hostname
ubuntu@my-hostname:~$

1. כעת תוכל ליצור אישורים עבור כל משתמש במארח הנותן אמון ברשות האישורים שלך.
2. אתה יכול להסיר חירום. אתה יכול לשמור sk-user-ca, אבל אתה לא צריך שכן הוא גם נמצא במפתח האבטחה. ייתכן שתרצה גם להסיר את המפתח הציבורי המקורי PEM מהמארחים שלך (לדוגמה ב-~/.ssh/authorized_keys עבור משתמש ה-Ubuntu) אם השתמשת בו לגישה למקרי חירום.

גישה לשעת חירום: תוכנית פעולה

הדבק את מפתח האבטחה והפעל את הפקודה:

$ ssh-add -K

פעולה זו תוסיף את המפתח הציבורי ואת מתאר המפתחות של רשות האישורים לסוכן SSH.

כעת ייצא את המפתח הציבורי כדי ליצור אישור:

$ ssh-add -L | tail -1 > sk-user-ca.pub

צור אישור עם תאריך תפוגה של, למשל, לא יותר משעה:

$ ssh-keygen -t ecdsa -f emergency
$ ssh-keygen -Us sk-user-ca.pub -I test-key -n [username] -V -5m:+60m emergency
$ chmod 600 emergency-cert.pub

ועכשיו שוב SSH:

$ ssh -i emergency username@host

אם קובץ ה-.ssh/config שלך גורם לבעיות מסוימות בעת החיבור, אתה יכול להפעיל את ssh עם האפשרות -F none כדי לעקוף אותו. אם אתה צריך לשלוח תעודה לעמית, האפשרות הקלה והבטוחה ביותר היא חור תולעת קסם. לשם כך, אתה צריך רק שני קבצים - במקרה שלנו, חירום וחירום-cert.pub.

מה שאני אוהב בגישה זו הוא תמיכת החומרה. אתה יכול לשים את מפתחות האבטחה שלך בכספת והם לא ילכו לשום מקום.

על זכויות הפרסום

שרתים אפיים - האם VPS זול עם מעבדים חזקים מבית AMD, תדר ליבת מעבד עד 3.4 גיגה-הרץ. התצורה המקסימלית מאפשרת לך לפתור כמעט כל בעיה - 128 ליבות CPU, 512 GB RAM, 4000 GB NVMe. הצטרף אלינו!

מקור: www.habr.com