In hoc post, modum procedendi ad subitis accessum ad SSH Exercituum explicabimus utentes claves securitatis hardware offline. Una haec est aditus, eamque ad usus tuos aptare potes. Nos auctoritate certificatorium SSH hospitum nostrorum in clavis ferramentis ad securitatem reponendam. Quae res in quolibet fere OpenSSH, incluso SSH cum uno signo-in, laborabit.
Quid est hoc totum? Bene, haec postrema optio. Hoc posticum est quod te ad tuum servo accessum habere sinet cum aliqua de causa nihil aliud operatur.
Cur libellorum loco publicas/privatas claves adhibent ad accessum subitis?
- Dissimilis claves publicae, testimoniales vitam brevissimam habere possunt. Testimonium generare potes quod pro 1 momento vel etiam 5 secundis valet. Post hanc periodum testimonium novis necessariis inutile fiet. Hoc est specimen subitis accessum.
- Potes libellum de quavis ratione in tuis exercitibus creare et, si opus est, libellos "unum tempus" collegas mitte.
Quid youll 'postulo
- Claves securitatis quae clavibus residentibus sustinent.
Claves residentes sunt claves cryptographicae quae penitus in clavibus securitatis reponuntur. Interdum ab alphanumeric PIN tutantur. Portio publica residentis clavis ex clavibus securitatis exportari potest, optione una cum manubrio clavis privatis. Exempli gratia, Yubikey 5 series USB claves sustinent claves residentes. Optandum est ea tantum destinata subitis accessu ad exercitum. Pro hac posta una tantum clavibus utar, sed additamentum unum debes habere pro tergum. - Locus tutus ad claves illas reponendas.
- OpenSSH versio 8.2 vel altius in computatro locali et in ministris accessum subitum habere vis. Decuria 20.04 naves cum OpenSSH 8.2.
- A CLI instrumentum ad libellos reprimendos.
Training
Primum, certificationem auctoritatem creare debes quae in clavis ferramentis securitatis collocabitur. Clavem inserere et currere;
$ ssh-keygen -t ecdsa-sk -f sk-user-ca -O resident -C [security key ID]
Sicut commentarium (-C) indicavi [Inscriptio protected]ideo non oblivisceris quae ad clavem huius certificamenti auctoritatem pertinet.
Praeter clavem Yubikey addendo, duo fasciculi localiter generabuntur;
- sk-user-ca, manubrium clavis quod pertinet ad clavem privatam repositam in clave securitatis;
- sk-user-ca.pub, quae clavis publica erit pro auctoritate certificali.
Sed nolite solliciti esse, Yubikey addit aliam clavem privatam quae insanabilis esse non potest. Ergo omnia hic certa sunt.
In exercituum ut radix, sequentia ad configurationem tuam SSHD (/etc/ssh/sshd_config) adde (/etc/ssh/sshd_config);
TrustedUserCAKeys /etc/ssh/ca.pub
Deinde exercitui adde clavem publicam (sk-user-ca.pub) ad /etc/ssh/ca.pub
Daemon sileo;
# /etc/init.d/ssh restart
Nunc ad exercitum accedere conemur. Sed ante aliquam nisl. Facere par clavis quod cum certificatorio associatur:
$ ssh-keygen -t ecdsa -f emergency
Testimonia et SSH pairs
Aliquando tentat utere libellum substitutionis pro clavis publici/privatis par. Sed testimonium solum non sufficit ad authenticum usorem authenticitatis. Unumquodque libellum etiam clavem privatam cum eo consociatum habet. Hac de causa, necesse est hoc "subitis" clavem paribus generare antequam libellum nobis edamus. Summum est ut testimonium signatum servo ostendamus, indicando clavem par ob quam clavis privatam habemus.Itaque publica clavis commutatio adhuc vivit et valet. Hoc etiam cum libellis operatur. Testimonia simpliciter eliminare necessitatem ministri ad claves publicas reponendas.
Deinde ipsum libellum crea. Mihi opus est licentia usoris Ubuntu in 10 momento temporis. Facere potes viam tuam.
$ ssh-keygen -s sk-user-ca -I test-key -n ubuntu -V -5m:+5m emergency
Rogaberis ut libellum subscribere per fingerprints tuo. Usoribus additis additis commatibus separatis addere potes, e.g. -n ubuntu, carl, ec2-user
Id est, nunc libellum habes! Deinde debes rectam permissionum specificare:
$ chmod 600 emergency-cert.pub
Postea videre potes contenta certificamenti tui:
$ step ssh inspect emergency-cert.pub
Hoc est quod meum est vultus amo;
emergency-cert.pub
Type: [email protected] user certificate
Public key: ECDSA-CERT SHA256:EJSfzfQv1UK44/LOKhBbuh5oRMqxXGBSr+UAzA7cork
Signing CA: SK-ECDSA SHA256:kLJ7xfTTPQN0G/IF2cq5TB3EitaV4k3XczcBZcLPQ0E
Key ID: "test-key"
Serial: 0
Valid: from 2020-06-24T16:53:03 to 2020-06-24T17:03:03
Principals:
ubuntu
Critical Options: (none)
Extensions:
permit-X11-forwarding
permit-agent-forwarding
permit-port-forwarding
permit-pty
permit-user-rc
Hic clavis publicus clavem subitis est quam creavimus, et sk-user-ca cum auctoritate certificationis coniungitur.
Tandem parati sumus ad mandatum SSH ad currendum:
$ ssh -i emergency ubuntu@my-hostname
ubuntu@my-hostname:~$
- Potes nunc creare libellos pro quolibet usuario in hospitio qui tuo certificatorio auctoritate confidit.
- Subitis removere potes. sk-user-ca servare potes, sed non debes quia etiam in clavis securitatis est. Etiam originale PEM publica clavem e exercitibus tuis (exempli gratia in ~/.ssh/authorised_keys pro decuria usoris) removere vis, si accessu subitis usus es.
Subitis Access: Actio Plan
Crustulum clavis securitatis et mandatum currunt;
$ ssh-add -K
Hoc addet auctoritati certificatorium clavem publicam et descriptor clavem agenti SSH.
Nunc exportare publicam clavem ad libellum facere;
$ ssh-add -L | tail -1 > sk-user-ca.pub
Fac libellum cum expirata, exempli gratia, non plus quam hora;
$ ssh-keygen -t ecdsa -f emergency
$ ssh-keygen -Us sk-user-ca.pub -I test-key -n [username] -V -5m:+60m emergency
$ chmod 600 emergency-cert.pub
Et nunc iterum SSH;
$ ssh -i emergency username@host
Si fasciculus tuus .ssh/config problems cum connectens causat, potes ssh cum -F nulla optione praeterire. Si libellum collegae mittere debes, optio facillima et tutissima est
Quod mihi placet de hac accessione, est subsidiarium ferramentorum. Potes securitatis tuae claves in tuto ponere et alicubi ire non possunt.
ut vendo
Epic servers - eam
Source: www.habr.com