ჩვენ ვნიშნავთ პროცედურას გადაუდებელი წვდომისთვის SSH ჰოსტებზე ტექნიკის გასაღებებით

ამ პოსტში ჩვენ შევიმუშავებთ SSH ჰოსტებზე გადაუდებელი წვდომის პროცედურას ხაზგარეშე უსაფრთხოების ტექნიკის გასაღებების გამოყენებით. ეს მხოლოდ ერთი მიდგომაა და შეგიძლიათ მისი მორგება თქვენს საჭიროებებზე. ჩვენ ვინახავთ SSH სერთიფიკატის უფლებამოსილებას ჩვენი ჰოსტებისთვის ტექნიკის უსაფრთხოების გასაღებზე. ეს სქემა იმუშავებს თითქმის ნებისმიერ OpenSSH-ზე, მათ შორის SSH ერთჯერადი შესვლით.

რისთვის არის ეს ყველაფერი? ისე, ეს უკანასკნელი ვარიანტია. ეს არის უკანა კარი, რომელიც საშუალებას მოგცემთ მიიღოთ წვდომა თქვენს სერვერზე, როდესაც რაიმე მიზეზით სხვა არაფერი მუშაობს.

რატომ გამოვიყენოთ სერთიფიკატები საჯარო/პირადი გასაღებების ნაცვლად გადაუდებელი წვდომისთვის?

• საჯარო გასაღებებისგან განსხვავებით, სერთიფიკატებს შეიძლება ჰქონდეთ ძალიან მოკლე ვადა. თქვენ შეგიძლიათ შექმნათ სერთიფიკატი, რომელიც მოქმედებს 1 წუთის ან თუნდაც 5 წამის განმავლობაში. ამ პერიოდის შემდეგ, სერთიფიკატი გამოუსადეგარი გახდება ახალი კავშირებისთვის. ეს იდეალურია გადაუდებელი წვდომისთვის.
• თქვენ შეგიძლიათ შექმნათ სერთიფიკატი ნებისმიერი ანგარიშისთვის თქვენს მასპინძლებზე და, საჭიროების შემთხვევაში, გაუგზავნოთ ასეთი „ერთჯერადი“ სერთიფიკატები კოლეგებს.

რა გჭირდებათ

• აპარატურის უსაფრთხოების გასაღებები, რომლებიც მხარს უჭერენ რეზიდენტ გასაღებებს.
  რეზიდენტური გასაღებები არის კრიპტოგრაფიული გასაღებები, რომლებიც ინახება მთლიანად უსაფრთხოების გასაღებში. ზოგჯერ ისინი დაცულია ალფანუმერული PIN-ით. რეზიდენტი გასაღების საჯარო ნაწილის ექსპორტი შესაძლებელია უსაფრთხოების გასაღებიდან, სურვილისამებრ, კერძო გასაღების სახელურთან ერთად. მაგალითად, Yubikey 5 სერიის USB კლავიშები მხარს უჭერს რეზიდენტ კლავიშებს.სასურველია, რომ ისინი განკუთვნილი იყოს მხოლოდ გადაუდებელი წვდომისთვის ჰოსტთან. ამ პოსტისთვის მე გამოვიყენებ მხოლოდ ერთ გასაღებს, მაგრამ თქვენ უნდა გქონდეთ დამატებითი სარეზერვო.
• უსაფრთხო ადგილი ამ გასაღებების შესანახად.
• OpenSSH ვერსია 8.2 ან უფრო მაღალი თქვენს ადგილობრივ კომპიუტერზე და სერვერებზე, რომლებზეც გსურთ გქონდეთ გადაუდებელი წვდომა. Ubuntu 20.04 გამოდის OpenSSH 8.2-ით.
• (სურვილისამებრ, მაგრამ რეკომენდებულია) CLI ინსტრუმენტი სერთიფიკატების შესამოწმებლად.

სასწავლო

პირველ რიგში, თქვენ უნდა შექმნათ სერტიფიცირების ორგანო, რომელიც განთავსდება ტექნიკის უსაფრთხოების გასაღებზე. ჩასვით გასაღები და გაუშვით:

$ ssh-keygen -t ecdsa-sk -f sk-user-ca -O resident -C [security key ID]

როგორც კომენტარი (-C) მე მივუთითე [ელ.ფოსტით დაცულია]ასე რომ თქვენ არ დაგავიწყდეთ უსაფრთხოების რომელ გასაღებს ეკუთვნის ეს სერტიფიკატის ავტორიტეტი.

Yubikey-ზე გასაღების დამატების გარდა, ადგილობრივად გენერირებული იქნება ორი ფაილი:

1. sk-user-ca, გასაღების სახელური, რომელიც ეხება უსაფრთხოების გასაღებში შენახულ პირად გასაღებს,
2. sk-user-ca.pub, რომელიც იქნება თქვენი სერტიფიკატის ორგანოს საჯარო გასაღები.

მაგრამ არ ინერვიულოთ, Yubikey ინახავს სხვა პირად გასაღებს, რომლის ამოღებაც შეუძლებელია. ამიტომ, აქ ყველაფერი საიმედოა.

ჰოსტებზე, როგორც root, დაამატეთ (თუ უკვე არ გაქვთ) თქვენი SSHD კონფიგურაციაში (/etc/ssh/sshd_config):

TrustedUserCAKeys /etc/ssh/ca.pub

შემდეგ ჰოსტზე დაამატეთ საჯარო გასაღები (sk-user-ca.pub) /etc/ssh/ca.pub

გადატვირთეთ დემონი:

# /etc/init.d/ssh restart

ახლა ჩვენ შეგვიძლია ვცადოთ მასპინძელზე წვდომა. მაგრამ ჯერ სერთიფიკატი გვჭირდება. შექმენით გასაღების წყვილი, რომელიც დაკავშირებული იქნება სერთიფიკატთან:

$ ssh-keygen -t ecdsa -f emergency

სერთიფიკატები და SSH წყვილი
ზოგჯერ მაცდურია სერთიფიკატის გამოყენება საჯარო/პირადი გასაღების წყვილის შემცვლელად. მაგრამ მხოლოდ სერტიფიკატი არ არის საკმარისი მომხმარებლის ავთენტიფიკაციისთვის. თითოეულ სერტიფიკატს ასევე აქვს მასთან დაკავშირებული პირადი გასაღები. სწორედ ამიტომ, ჩვენ გვჭირდება ამ "გადაუდებელი" გასაღების წყვილის გენერირება, სანამ საკუთარ თავს სერთიფიკატს გავცემთ. მთავარია სერვერს ვაჩვენოთ ხელმოწერილი სერთიფიკატი, სადაც მითითებულია გასაღების წყვილი, რომლისთვისაც გვაქვს პირადი გასაღები.

ასე რომ, საჯარო გასაღების გაცვლა ჯერ კიდევ ცოცხალია. ეს მუშაობს თუნდაც სერთიფიკატებით. სერთიფიკატები უბრალოდ გამორიცხავს სერვერის საჭიროებას საჯარო გასაღებების შესანახად.

შემდეგი, შექმენით თავად სერთიფიკატი. მჭირდება ubuntu მომხმარებლის ავტორიზაცია 10 წუთის ინტერვალით. თქვენ შეგიძლიათ გააკეთოთ ეს თქვენი გზით.

$ ssh-keygen -s sk-user-ca -I test-key -n ubuntu -V -5m:+5m emergency

მოგეთხოვებათ ხელი მოაწეროთ სერტიფიკატს თქვენი თითის ანაბეჭდის გამოყენებით. შეგიძლიათ დაამატოთ მძიმით გამოყოფილი დამატებითი მომხმარებლის სახელები, მაგალითად -n ubuntu,carl,ec2-user

ესე იგი, ახლა სერთიფიკატი გაქვს! შემდეგი, თქვენ უნდა მიუთითოთ სწორი ნებართვები:

$ chmod 600 emergency-cert.pub

ამის შემდეგ შეგიძლიათ ნახოთ თქვენი სერთიფიკატის შინაარსი:

$ step ssh inspect emergency-cert.pub

ასე გამოიყურება ჩემი:

emergency-cert.pub
        Type: [email protected] user certificate
        Public key: ECDSA-CERT SHA256:EJSfzfQv1UK44/LOKhBbuh5oRMqxXGBSr+UAzA7cork
        Signing CA: SK-ECDSA SHA256:kLJ7xfTTPQN0G/IF2cq5TB3EitaV4k3XczcBZcLPQ0E
        Key ID: "test-key"
        Serial: 0
        Valid: from 2020-06-24T16:53:03 to 2020-06-24T17:03:03
        Principals:
                ubuntu
        Critical Options: (none)
        Extensions:
                permit-X11-forwarding
                permit-agent-forwarding
                permit-port-forwarding
                permit-pty
                permit-user-rc

აქ საჯარო გასაღები არის საგანგებო გასაღები, რომელიც ჩვენ შევქმენით და sk-user-ca ასოცირდება სერტიფიცირების ორგანოსთან.

დაბოლოს, ჩვენ მზად ვართ SSH ბრძანების გასაშვებად:

$ ssh -i emergency ubuntu@my-hostname
ubuntu@my-hostname:~$

1. ახლა თქვენ შეგიძლიათ შექმნათ სერთიფიკატები ნებისმიერი მომხმარებლისთვის ჰოსტზე, რომელიც ენდობა თქვენს სერტიფიკატის უფლებამოსილებას.
2. თქვენ შეგიძლიათ წაშალოთ საგანგებო მდგომარეობა. შეგიძლიათ შეინახოთ sk-user-ca, მაგრამ ეს არ გჭირდებათ, რადგან ის ასევე უსაფრთხოების გასაღებზეა. თქვენ ასევე შეგიძლიათ წაშალოთ ორიგინალური PEM საჯარო გასაღები თქვენი ჰოსტებიდან (მაგალითად, ~/.ssh/authorized_keys-ში ubuntu მომხმარებლისთვის), თუ იყენებდით მას გადაუდებელი წვდომისთვის.

გადაუდებელი წვდომა: სამოქმედო გეგმა

ჩასვით უსაფრთხოების გასაღები და გაუშვით ბრძანება:

$ ssh-add -K

ეს დაამატებს სერტიფიკატის ორგანოს საჯარო გასაღებს და გასაღების აღწერს SSH აგენტს.

ახლა გაიყვანეთ საჯარო გასაღები სერთიფიკატის შესაქმნელად:

$ ssh-add -L | tail -1 > sk-user-ca.pub

შექმენით სერტიფიკატი ვადის გასვლის თარიღით, მაგალითად, არა უმეტეს ერთი საათისა:

$ ssh-keygen -t ecdsa -f emergency
$ ssh-keygen -Us sk-user-ca.pub -I test-key -n [username] -V -5m:+60m emergency
$ chmod 600 emergency-cert.pub

და ახლა ისევ SSH:

$ ssh -i emergency username@host

თუ თქვენი .ssh/config ფაილი იწვევს გარკვეულ პრობლემებს დაკავშირებისას, შეგიძლიათ გაუშვათ ssh -F none ოფციით მის გვერდის ავლით. თუ კოლეგისთვის სერთიფიკატის გაგზავნა გჭირდებათ, ყველაზე მარტივი და უსაფრთხო ვარიანტია Magic Wormhole. ამისათვის დაგჭირდებათ მხოლოდ ორი ფაილი - ჩვენს შემთხვევაში სასწრაფო და სასწრაფო-cert.pub.

რაც მომწონს ამ მიდგომაში არის ტექნიკის მხარდაჭერა. შეგიძლიათ თქვენი უსაფრთხოების გასაღებები სეიფში მოათავსოთ და ისინი არსად წავა.

რეკლამის უფლებების შესახებ

ეპიკური სერვერები - რამდენად იაფი VPS ძლიერი პროცესორებით AMD-დან, CPU ბირთვის სიხშირით 3.4 გჰც-მდე. მაქსიმალური კონფიგურაცია საშუალებას გაძლევთ გადაჭრას თითქმის ნებისმიერი პრობლემა - 128 CPU ბირთვი, 512 GB ოპერატიული მეხსიერება, 4000 GB NVMe. Შემოგვიერთდი!

წყარო: www.habr.com