យើងចេញវេជ្ជបញ្ជានីតិវិធីសម្រាប់ការចូលប្រើពេលមានអាសន្នទៅកាន់ម៉ាស៊ីន SSH ដោយប្រើសោផ្នែករឹង

នៅក្នុងការប្រកាសនេះ យើងនឹងបង្កើតនីតិវិធីសម្រាប់ការចូលប្រើពេលមានអាសន្នទៅកាន់ម៉ាស៊ីន SSH ដោយប្រើសោសុវត្ថិភាពផ្នែករឹងដោយគ្មានអ៊ីនធឺណិត។ នេះគ្រាន់តែជាវិធីសាស្រ្តមួយប៉ុណ្ណោះ ហើយអ្នកអាចសម្របវាទៅតាមតម្រូវការរបស់អ្នក។ យើងនឹងរក្សាទុកអាជ្ញាធរវិញ្ញាបនបត្រ SSH សម្រាប់ម៉ាស៊ីនរបស់យើងនៅលើសោសុវត្ថិភាពផ្នែករឹង។ គ្រោងការណ៍នេះនឹងដំណើរការលើស្ទើរតែទាំងអស់ OpenSSH រួមទាំង SSH ជាមួយនឹងការចូលតែមួយ។

តើទាំងអស់នេះសម្រាប់អ្វី? ជាការប្រសើរណាស់, នេះគឺជាជម្រើសចុងក្រោយ។ នេះគឺជា backdoor ដែលនឹងអនុញ្ញាតឱ្យអ្នកទទួលបានសិទ្ធិចូលប្រើម៉ាស៊ីនមេរបស់អ្នកនៅពេលដែលគ្មានហេតុផលណាមួយផ្សេងទៀតដែលដំណើរការ។

ហេតុអ្វីត្រូវប្រើវិញ្ញាបនបត្រជំនួសឱ្យសោសាធារណៈ/ឯកជនសម្រាប់ការចូលប្រើពេលមានអាសន្ន?

• មិនដូចសោសាធារណៈទេ វិញ្ញាបនបត្រអាចមានរយៈពេលខ្លីបំផុត។ អ្នកអាចបង្កើតវិញ្ញាបនបត្រដែលមានសុពលភាពរយៈពេល 1 នាទី ឬសូម្បីតែ 5 វិនាទី។ បន្ទាប់ពីរយៈពេលនេះ វិញ្ញាបនបត្រនឹងមិនអាចប្រើប្រាស់បានសម្រាប់ការតភ្ជាប់ថ្មី។ នេះគឺល្អសម្រាប់ការចូលសង្គ្រោះបន្ទាន់។
• អ្នកអាចបង្កើតវិញ្ញាបនបត្រសម្រាប់គណនីណាមួយនៅលើម៉ាស៊ីនរបស់អ្នក ហើយប្រសិនបើចាំបាច់ សូមផ្ញើវិញ្ញាបនបត្រ "ម្តង" បែបនេះទៅកាន់សហសេវិក។

អ្វីដែលអ្នកត្រូវការ

• សោសុវត្ថិភាពផ្នែករឹងដែលគាំទ្រសោស្នាក់នៅ។
  សោស្នាក់នៅគឺជាសោគ្រីបដែលត្រូវបានរក្សាទុកទាំងស្រុងនៅក្នុងសោសុវត្ថិភាព។ ពេលខ្លះពួកវាត្រូវបានការពារដោយលេខ PIN អក្សរក្រមលេខ។ ផ្នែកសាធារណៈនៃសោស្នាក់នៅអាចត្រូវបាននាំចេញពីសោសុវត្ថិភាព ជាជម្រើសរួមជាមួយចំណុចទាញសោឯកជន។ ឧទាហរណ៍ គ្រាប់ចុច USB ស៊េរី Yubikey 5 គាំទ្រសោស្នាក់នៅ។ វាត្រូវបានណែនាំថាពួកវាត្រូវបានបម្រុងទុកសម្រាប់តែការចូលប្រើពេលមានអាសន្នទៅកាន់ម៉ាស៊ីនប៉ុណ្ណោះ។ សម្រាប់​ការ​បង្ហោះ​នេះ ខ្ញុំ​នឹង​ប្រើ​តែ​កូនសោ​មួយ​ប៉ុណ្ណោះ ប៉ុន្តែ​អ្នក​គួរ​មាន​មួយ​បន្ថែម​ទៀត​សម្រាប់​ការ​បម្រុង​ទុក។
• កន្លែងសុវត្ថិភាពសម្រាប់រក្សាទុកសោទាំងនោះ។
• OpenSSH កំណែ 8.2 ឬខ្ពស់ជាងនេះនៅលើកុំព្យូទ័រក្នុងតំបន់របស់អ្នក និងនៅលើម៉ាស៊ីនមេដែលអ្នកចង់មានសិទ្ធិចូលប្រើពេលមានអាសន្ន។ អ៊ូប៊ុនទូ 20.04 ដឹកជញ្ជូនជាមួយ OpenSSH 8.2 ។
• (ជាជម្រើស ប៉ុន្តែត្រូវបានណែនាំ) ឧបករណ៍ CLI សម្រាប់ពិនិត្យវិញ្ញាបនបត្រ។

ការរៀបចំ

ដំបូងអ្នកត្រូវបង្កើតអាជ្ញាធរបញ្ជាក់ដែលនឹងមានទីតាំងនៅលើសោសុវត្ថិភាពផ្នែករឹង។ បញ្ចូលគ្រាប់ចុចហើយដំណើរការ៖

$ ssh-keygen -t ecdsa-sk -f sk-user-ca -O resident -C [security key ID]

ក្នុងនាមជាមតិយោបល់ (-C) ខ្ញុំបានចង្អុលបង្ហាញ [អ៊ីមែលការពារ]ដូច្នេះ​អ្នក​មិន​ភ្លេច​សោ​សុវត្ថិភាព​ណា​ដែល​អាជ្ញាធរ​វិញ្ញាបនបត្រ​នេះ​ជា​កម្មសិទ្ធិ។

បន្ថែមពីលើការបន្ថែមកូនសោទៅ Yubikey ឯកសារពីរនឹងត្រូវបានបង្កើតក្នុងមូលដ្ឋាន៖

1. sk-user-ca ដែលជាចំណុចទាញសោដែលសំដៅទៅលើសោឯកជនដែលរក្សាទុកក្នុងសោសុវត្ថិភាព។
2. sk-user-ca.pub ដែលនឹងក្លាយជាសោសាធារណៈសម្រាប់អាជ្ញាធរវិញ្ញាបនបត្ររបស់អ្នក។

ប៉ុន្តែកុំបារម្ភអី Yubikey រក្សាទុកសោឯកជនមួយផ្សេងទៀតដែលមិនអាចទាញយកមកវិញបាន។ ដូច្នេះអ្វីគ្រប់យ៉ាងគឺអាចទុកចិត្តបាននៅទីនេះ។

នៅលើម៉ាស៊ីនជា root បន្ថែម (ប្រសិនបើអ្នកមិនទាន់បាន) ខាងក្រោមទៅការកំណត់រចនាសម្ព័ន្ធ SSHD របស់អ្នក (/etc/ssh/sshd_config):

TrustedUserCAKeys /etc/ssh/ca.pub

បន្ទាប់មកនៅលើម៉ាស៊ីន បន្ថែមសោសាធារណៈ (sk-user-ca.pub) ទៅ /etc/ssh/ca.pub

ចាប់ផ្តើមដេមិនឡើងវិញ៖

# /etc/init.d/ssh restart

ឥឡូវនេះយើងអាចព្យាយាមចូលប្រើម៉ាស៊ីន។ ប៉ុន្តែដំបូងយើងត្រូវការវិញ្ញាបនបត្រ។ បង្កើតគូគន្លឹះដែលនឹងត្រូវបានភ្ជាប់ជាមួយវិញ្ញាបនបត្រ៖

$ ssh-keygen -t ecdsa -f emergency

វិញ្ញាបនបត្រ និង SSH គូ
ពេលខ្លះវាចង់ប្រើវិញ្ញាបនបត្រជាការជំនួសសម្រាប់គូសោសាធារណៈ/ឯកជន។ ប៉ុន្តែវិញ្ញាបនបត្រតែមួយមុខមិនគ្រប់គ្រាន់ដើម្បីផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់នោះទេ។ វិញ្ញាបនបត្រនីមួយៗក៏មានសោឯកជនដែលភ្ជាប់ជាមួយវាផងដែរ។ នេះជាមូលហេតុដែលយើងត្រូវបង្កើតគូសោ "សង្គ្រោះបន្ទាន់" នេះ មុនពេលយើងចេញវិញ្ញាបនបត្រឱ្យខ្លួនយើង។ អ្វីដែលសំខាន់នោះគឺថាយើងបង្ហាញវិញ្ញាបនបត្រដែលបានចុះហត្ថលេខាទៅម៉ាស៊ីនមេដោយបង្ហាញពីគូសោដែលយើងមានសោឯកជន។

ដូច្នេះ ការដោះដូរសោសាធារណៈនៅតែមានជីវិត និងល្អ។ វាដំណើរការសូម្បីតែជាមួយវិញ្ញាបនបត្រ។ វិញ្ញាបនប័ត្រគ្រាន់តែលុបបំបាត់តម្រូវការសម្រាប់ម៉ាស៊ីនមេដើម្បីរក្សាទុកសោសាធារណៈ។

បន្ទាប់មកបង្កើតវិញ្ញាបនបត្រដោយខ្លួនឯង។ ខ្ញុំត្រូវការការអនុញ្ញាតពីអ្នកប្រើប្រាស់ ubuntu ក្នុងចន្លោះពេល 10 នាទី។ អ្នកអាចធ្វើវាតាមរបៀបរបស់អ្នក។

$ ssh-keygen -s sk-user-ca -I test-key -n ubuntu -V -5m:+5m emergency

អ្នកនឹងត្រូវបានស្នើសុំឱ្យចុះហត្ថលេខាលើវិញ្ញាបនបត្រដោយប្រើស្នាមម្រាមដៃរបស់អ្នក។ អ្នកអាចបន្ថែមឈ្មោះអ្នកប្រើប្រាស់បន្ថែមដែលបំបែកដោយសញ្ញាក្បៀស ឧទាហរណ៍ -n ubuntu,carl,ec2-user

នោះហើយជាវាឥឡូវនេះអ្នកមានវិញ្ញាបនបត្រ! បន្ទាប់អ្នកត្រូវបញ្ជាក់ការអនុញ្ញាតត្រឹមត្រូវ៖

$ chmod 600 emergency-cert.pub

បន្ទាប់ពីនេះ អ្នកអាចមើលខ្លឹមសារនៃវិញ្ញាបនបត្ររបស់អ្នក៖

$ step ssh inspect emergency-cert.pub

នេះជាអ្វីដែលខ្ញុំមើលទៅ៖

emergency-cert.pub
        Type: [email protected] user certificate
        Public key: ECDSA-CERT SHA256:EJSfzfQv1UK44/LOKhBbuh5oRMqxXGBSr+UAzA7cork
        Signing CA: SK-ECDSA SHA256:kLJ7xfTTPQN0G/IF2cq5TB3EitaV4k3XczcBZcLPQ0E
        Key ID: "test-key"
        Serial: 0
        Valid: from 2020-06-24T16:53:03 to 2020-06-24T17:03:03
        Principals:
                ubuntu
        Critical Options: (none)
        Extensions:
                permit-X11-forwarding
                permit-agent-forwarding
                permit-port-forwarding
                permit-pty
                permit-user-rc

នៅទីនេះ សោសាធារណៈ គឺជាសោអាសន្នដែលយើងបានបង្កើត ហើយ sk-user-ca ត្រូវបានភ្ជាប់ជាមួយអាជ្ញាធរបញ្ជាក់។

ទីបំផុតយើងត្រៀមរួចរាល់ដើម្បីដំណើរការពាក្យបញ្ជា SSH៖

$ ssh -i emergency ubuntu@my-hostname
ubuntu@my-hostname:~$

1. ឥឡូវនេះ អ្នកអាចបង្កើតវិញ្ញាបនបត្រសម្រាប់អ្នកប្រើប្រាស់ណាមួយនៅលើម៉ាស៊ីនដែលជឿជាក់លើអាជ្ញាធរវិញ្ញាបនបត្ររបស់អ្នក។
2. អ្នកអាចលុបការសង្គ្រោះបន្ទាន់។ អ្នកអាចរក្សាទុក sk-user-ca ប៉ុន្តែអ្នកមិនចាំបាច់ទេ ដោយសារវានៅលើសោសុវត្ថិភាពផងដែរ។ អ្នកក៏អាចចង់លុបសោសាធារណៈ PEM ដើមចេញពីម៉ាស៊ីនរបស់អ្នក (ឧទាហរណ៍នៅក្នុង ~/.ssh/authorized_keys សម្រាប់អ្នកប្រើប្រាស់អ៊ូប៊ុនទូ) ប្រសិនបើអ្នកប្រើវាសម្រាប់ការចូលប្រើពេលមានអាសន្ន។

ការចូលប្រើពេលមានអាសន្ន៖ ផែនការសកម្មភាព

Вставьте ключ безопасности и запустите команду:

$ ssh-add -K

វានឹងបន្ថែមកូនសោសាធារណៈ និងអ្នកពណ៌នាកូនសោរបស់អាជ្ញាធរវិញ្ញាបនបត្រទៅភ្នាក់ងារ SSH ។

ឥឡូវនាំចេញសោសាធារណៈដើម្បីធ្វើវិញ្ញាបនបត្រ៖

$ ssh-add -L | tail -1 > sk-user-ca.pub

បង្កើតវិញ្ញាបនបត្រដែលមានកាលបរិច្ឆេទផុតកំណត់ ជាឧទាហរណ៍ មិនលើសពីមួយម៉ោង៖

$ ssh-keygen -t ecdsa -f emergency
$ ssh-keygen -Us sk-user-ca.pub -I test-key -n [username] -V -5m:+60m emergency
$ chmod 600 emergency-cert.pub

ហើយឥឡូវនេះ SSH ម្តងទៀត៖

$ ssh -i emergency username@host

ប្រសិនបើឯកសារ .ssh/config របស់អ្នកបង្កបញ្ហាខ្លះនៅពេលភ្ជាប់ អ្នកអាចដំណើរការ ssh ដោយប្រើជម្រើស -F none ដើម្បីរំលងវា។ ប្រសិនបើអ្នកត្រូវការផ្ញើវិញ្ញាបនបត្រទៅមិត្តរួមការងារ ជម្រើសងាយស្រួលបំផុត និងសុវត្ថិភាពបំផុតគឺ ដង្កូវវេទមន្ត. ដើម្បីធ្វើដូច្នេះបាន អ្នកគ្រាន់តែត្រូវការឯកសារពីរប៉ុណ្ណោះ - ក្នុងករណីរបស់យើង សង្គ្រោះបន្ទាន់ និងសង្គ្រោះបន្ទាន់-cert.pub ។

អ្វីដែលខ្ញុំចូលចិត្តអំពីវិធីសាស្រ្តនេះគឺការគាំទ្រផ្នែករឹង។ អ្នកអាចដាក់សោសុវត្ថិភាពរបស់អ្នកនៅក្នុងសុវត្ថិភាព ហើយពួកវានឹងមិនទៅណាទេ។

អំពីសិទ្ធិផ្សព្វផ្សាយ

ម៉ាស៊ីនមេ Epic - នេះ​គឺជា VPS ថោក ជាមួយនឹងដំណើរការដ៏មានអានុភាពពី AMD ប្រេកង់ស្នូលស៊ីភីយូរហូតដល់ 3.4 GHz ។ ការកំណត់រចនាសម្ព័ន្ធអតិបរមាអនុញ្ញាតឱ្យអ្នកដោះស្រាយបញ្ហាស្ទើរតែទាំងអស់ - ស្នូលស៊ីភីយូ 128, RAM 512 GB, 4000 GB NVMe ។ ចូលរួម​ជាមួយ​យើង!

ប្រភព: www.habr.com