하드웨어 키를 사용하여 SSH 호스트에 긴급 액세스하는 절차를 규정합니다.

이 게시물에서는 오프라인에서 하드웨어 보안 키를 사용하여 SSH 호스트에 긴급 액세스하는 절차를 개발할 것입니다. 이는 하나의 접근 방식일 뿐이므로 필요에 맞게 조정할 수 있습니다. 하드웨어 보안 키에 호스트에 대한 SSH 인증 기관을 저장합니다. 이 체계는 Single Sign-On을 사용하는 SSH를 포함하여 거의 모든 OpenSSH에서 작동합니다.

이게 다 뭐죠? 글쎄, 이것은 최후의 수단 옵션입니다. 이것은 어떤 이유로든 아무 것도 작동하지 않을 때 서버에 액세스할 수 있게 해주는 백도어입니다.

긴급 액세스를 위해 공개/개인 키 대신 인증서를 사용하는 이유는 무엇입니까?

• 공개 키와 달리 인증서의 수명은 매우 짧을 수 있습니다. 1분 또는 5초 동안 유효한 인증서를 생성할 수 있습니다. 이 기간이 지나면 새 연결에 인증서를 사용할 수 없게 됩니다. 이는 비상 접근에 이상적입니다.
• 호스트의 모든 계정에 대한 인증서를 생성하고 필요한 경우 이러한 "일회성" 인증서를 동료에게 보낼 수 있습니다.

필요한 것

• 상주 키를 지원하는 하드웨어 보안 키입니다.
  상주 키는 보안 키 내에 완전히 저장되는 암호화 키입니다. 때로는 영숫자 PIN으로 보호되는 경우도 있습니다. 상주 키의 공개 부분은 선택적으로 개인 키 핸들과 함께 보안 키에서 내보낼 수 있습니다. 예를 들어 Yubikey 5 시리즈 USB 키는 상주 키를 지원하며 호스트에 대한 긴급 액세스용으로만 사용하는 것이 좋습니다. 이 게시물에서는 하나의 키만 사용하지만 백업을 위해 추가 키가 있어야 합니다.
• 해당 키를 보관할 수 있는 안전한 장소입니다.
• 로컬 컴퓨터와 비상 액세스를 원하는 서버에 OpenSSH 버전 8.2 이상이 설치되어 있어야 합니다. Ubuntu 20.04는 OpenSSH 8.2와 함께 제공됩니다.
• (선택사항이지만 권장됨) 인증서 확인을 위한 CLI 도구입니다.

훈련

먼저, 하드웨어 보안 키에 위치할 인증 기관을 만들어야 합니다. 키를 삽입하고 다음을 실행합니다.

$ ssh-keygen -t ecdsa-sk -f sk-user-ca -O resident -C [security key ID]

코멘트(-C)로 표시했습니다. [이메일 보호]따라서 이 인증 기관이 어떤 보안 키에 속해 있는지 잊지 마세요.

Yubikey에 키를 추가하는 것 외에도 두 개의 파일이 로컬로 생성됩니다.

1. sk-user-ca, 보안키에 저장된 개인키를 참조하는 키핸들,
2. sk-user-ca.pub는 인증 기관의 공개 키가 됩니다.

하지만 걱정하지 마세요. Yubikey는 검색할 수 없는 또 다른 개인 키를 저장합니다. 따라서 여기에서는 모든 것이 신뢰할 수 있습니다.

호스트에서 루트로 SSHD 구성(/etc/ssh/sshd_config)에 다음을 추가합니다(아직 추가하지 않은 경우).

TrustedUserCAKeys /etc/ssh/ca.pub

그런 다음 호스트에서 /etc/ssh/ca.pub에 공개 키(sk-user-ca.pub)를 추가합니다.

데몬을 다시 시작합니다.

# /etc/init.d/ssh restart

이제 호스트에 접근을 시도할 수 있습니다. 하지만 먼저 인증서가 필요합니다. 인증서와 연결될 키 쌍을 만듭니다.

$ ssh-keygen -t ecdsa -f emergency

인증서 및 SSH 쌍
때로는 공개/개인 키 쌍을 대체하기 위해 인증서를 사용하고 싶은 유혹이 있습니다. 그러나 인증서만으로는 사용자를 인증하는 데 충분하지 않습니다. 각 인증서에는 이와 관련된 개인 키도 있습니다. 이것이 바로 인증서를 발급하기 전에 이 "긴급" 키 쌍을 생성해야 하는 이유입니다. 중요한 것은 우리가 개인 키를 가지고 있는 키 쌍을 나타내는 서명된 인증서를 서버에 표시한다는 것입니다.

따라서 공개 키 교환은 여전히 ​​유효합니다. 이는 인증서에서도 작동합니다. 인증서를 사용하면 서버에서 공개 키를 저장할 필요가 없어집니다.

다음으로 인증서 자체를 만듭니다. 10분 간격으로 우분투 사용자 인증이 필요합니다. 당신은 당신의 방식대로 할 수 있습니다.

$ ssh-keygen -s sk-user-ca -I test-key -n ubuntu -V -5m:+5m emergency

지문을 사용하여 인증서에 서명하라는 메시지가 표시됩니다. -n ubuntu,carl,ec2-user와 같이 쉼표로 구분된 추가 사용자 이름을 추가할 수 있습니다.

이제 인증서가 생겼습니다! 다음으로 올바른 권한을 지정해야 합니다.

$ chmod 600 emergency-cert.pub

그런 다음 인증서 내용을 볼 수 있습니다.

$ step ssh inspect emergency-cert.pub

내 모습은 다음과 같습니다.

emergency-cert.pub
        Type: [email protected] user certificate
        Public key: ECDSA-CERT SHA256:EJSfzfQv1UK44/LOKhBbuh5oRMqxXGBSr+UAzA7cork
        Signing CA: SK-ECDSA SHA256:kLJ7xfTTPQN0G/IF2cq5TB3EitaV4k3XczcBZcLPQ0E
        Key ID: "test-key"
        Serial: 0
        Valid: from 2020-06-24T16:53:03 to 2020-06-24T17:03:03
        Principals:
                ubuntu
        Critical Options: (none)
        Extensions:
                permit-X11-forwarding
                permit-agent-forwarding
                permit-port-forwarding
                permit-pty
                permit-user-rc

여기서 공개키는 우리가 만든 비상키이고, sk-user-ca는 인증기관과 연결되어 있습니다.

마지막으로 SSH 명령을 실행할 준비가 되었습니다.

$ ssh -i emergency ubuntu@my-hostname
ubuntu@my-hostname:~$

1. 이제 인증 기관을 신뢰하는 호스트의 모든 사용자에 대한 인증서를 생성할 수 있습니다.
2. 긴급을 해제할 수 있습니다. sk-user-ca를 저장할 수 있지만 보안 키에도 있으므로 저장할 필요는 없습니다. 비상 액세스에 사용한 경우 호스트에서 원본 PEM 공개 키를 제거할 수도 있습니다(예: ubuntu 사용자의 경우 ~/.ssh/authorized_keys).

긴급 접근: 실행 계획

보안 키를 붙여넣고 다음 명령을 실행합니다.

$ ssh-add -K

그러면 인증 기관의 공개 키와 키 설명자가 SSH 에이전트에 추가됩니다.

이제 공개 키를 내보내 인증서를 만듭니다.

$ ssh-add -L | tail -1 > sk-user-ca.pub

예를 들어 만료 날짜가 XNUMX시간 이하인 인증서를 만듭니다.

$ ssh-keygen -t ecdsa -f emergency
$ ssh-keygen -Us sk-user-ca.pub -I test-key -n [username] -V -5m:+60m emergency
$ chmod 600 emergency-cert.pub

이제 다시 SSH를 수행합니다.

$ ssh -i emergency username@host

.ssh/config 파일이 연결 시 일부 문제를 일으키는 경우 -F none 옵션을 사용하여 ssh를 실행하여 이를 우회할 수 있습니다. 동료에게 인증서를 보내야 하는 경우 가장 쉽고 안전한 방법은 다음과 같습니다. 마법의 웜홀. 이를 위해서는 두 개의 파일만 필요합니다. 우리의 경우 Emergency 및 Emergency-cert.pub입니다.

이 접근 방식에서 제가 좋아하는 점은 하드웨어 지원입니다. 보안 키를 금고에 넣어두면 아무데도 가지 않습니다.

광고의 권리에

에픽 서버 -가요 저렴한 VPS AMD의 강력한 프로세서, 최대 3.4GHz의 CPU 코어 주파수를 사용합니다. 최대 구성을 사용하면 128개의 CPU 코어, 512GB RAM, 4000GB NVMe 등 거의 모든 문제를 해결할 수 있습니다. 우리와 함께하세요!

출처 : habr.com