Mēs nosakām procedūru ārkārtas piekļuvei SSH saimniekiem ar aparatūras atslēgām

Šajā ziņojumā mēs izstrādāsim procedūru ārkārtas piekļuvei SSH saimniekiem, izmantojot aparatūras drošības atslēgas bezsaistē. Šī ir tikai viena pieeja, un jūs varat to pielāgot savām vajadzībām. Mēs saglabāsim SSH sertifikātu iestādi mūsu saimniekiem aparatūras drošības atslēgā. Šī shēma darbosies gandrīz jebkurā OpenSSH, tostarp SSH ar vienu pierakstīšanos.

Priekš kam tas viss? Nu, šī ir pēdējā iespēja. Šīs ir aizmugures durvis, kas ļaus jums piekļūt savam serverim, kad kāda iemesla dēļ nekas cits nedarbojas.

Kāpēc ārkārtas piekļuvei izmantot sertifikātus, nevis publiskās/privātās atslēgas?

• Atšķirībā no publiskajām atslēgām sertifikātiem var būt ļoti īss kalpošanas laiks. Varat ģenerēt sertifikātu, kas ir derīgs 1 minūti vai pat 5 sekundes. Pēc šī perioda sertifikāts kļūs nelietojams jauniem savienojumiem. Tas ir ideāli piemērots ārkārtas piekļuvei.
• Jūs varat izveidot sertifikātu jebkuram kontam savā saimniekdatorā un, ja nepieciešams, nosūtīt šādus “vienreizējos” sertifikātus kolēģiem.

Kas jums nepieciešams

• Aparatūras drošības atslēgas, kas atbalsta pastāvīgās atslēgas.
  Pastāvīgās atslēgas ir kriptogrāfiskās atslēgas, kas pilnībā tiek saglabātas drošības atslēgā. Dažreiz tos aizsargā burtciparu PIN. Pastāvīgās atslēgas publisko daļu var eksportēt no drošības atslēgas, pēc izvēles kopā ar privātās atslēgas rokturi. Piemēram, Yubikey 5 sērijas USB atslēgas atbalsta pastāvīgās atslēgas.Ieteicams, lai tās būtu paredzētas tikai ārkārtas piekļuvei resursdatoram. Šim ierakstam es izmantošu tikai vienu atslēgu, taču jums vajadzētu būt vēl vienai dublēšanai.
• Droša vieta, kur uzglabāt šīs atslēgas.
• OpenSSH versija 8.2 vai jaunāka jūsu lokālajā datorā un serveros, kuriem vēlaties piekļūt ārkārtas situācijām. Ubuntu 20.04 tiek piegādāts ar OpenSSH 8.2.
• (pēc izvēles, bet ieteicams) CLI rīks sertifikātu pārbaudei.

Treniņš

Pirmkārt, jums ir jāizveido sertifikācijas iestāde, kas atradīsies uz aparatūras drošības atslēgas. Ievietojiet atslēgu un palaidiet:

$ ssh-keygen -t ecdsa-sk -f sk-user-ca -O resident -C [security key ID]

Kā komentāru (-C) norādīju [e-pasts aizsargāts]tāpēc neaizmirstiet, kurai drošības atslēgai pieder šī sertifikāta iestāde.

Papildus atslēgas pievienošanai Yubikey, lokāli tiks ģenerēti divi faili:

1. sk-user-ca, atslēgas rokturis, kas attiecas uz drošības atslēgā saglabāto privāto atslēgu,
2. sk-user-ca.pub, kas būs jūsu sertifikācijas iestādes publiskā atslēga.

Bet neuztraucieties, Yubikey saglabā citu privāto atslēgu, kuru nevar izgūt. Tāpēc šeit viss ir uzticams.

Saimniekdos kā root, pievienojiet (ja vēl neesat to izdarījis) savai SSHD konfigurācijai (/etc/ssh/sshd_config):

TrustedUserCAKeys /etc/ssh/ca.pub

Pēc tam resursdatorā pievienojiet publisko atslēgu (sk-user-ca.pub) failam /etc/ssh/ca.pub

Restartējiet dēmonu:

# /etc/init.d/ssh restart

Tagad mēs varam mēģināt piekļūt saimniekdatoram. Bet vispirms mums ir nepieciešams sertifikāts. Izveidojiet atslēgu pāri, kas tiks saistīts ar sertifikātu:

$ ssh-keygen -t ecdsa -f emergency

Sertifikāti un SSH pāri
Dažreiz ir vilinoši izmantot sertifikātu kā publiskā/privātā atslēgu pāra aizstājēju. Taču ar sertifikātu vien nepietiek, lai autentificētu lietotāju. Katram sertifikātam ir arī piesaistīta privātā atslēga. Tāpēc mums ir jāģenerē šis "ārkārtas" atslēgu pāris, pirms mēs izsniedzam sev sertifikātu. Svarīgi ir tas, ka mēs serverim parādām parakstīto sertifikātu, norādot atslēgu pāri, kuram mums ir privātā atslēga.

Tātad publisko atslēgu apmaiņa joprojām ir dzīva un labi. Tas darbojas pat ar sertifikātiem. Sertifikāti vienkārši novērš nepieciešamību serverim saglabāt publiskās atslēgas.

Pēc tam izveidojiet pašu sertifikātu. Man ir nepieciešama ubuntu lietotāja autorizācija 10 minūšu intervālā. Jūs varat to izdarīt savā veidā.

$ ssh-keygen -s sk-user-ca -I test-key -n ubuntu -V -5m:+5m emergency

Jums tiks lūgts parakstīt sertifikātu, izmantojot pirkstu nospiedumu. Varat pievienot papildu lietotājvārdus, atdalot tos ar komatiem, piemēram, -n ubuntu,carl,ec2-user

Tas ir viss, tagad jums ir sertifikāts! Tālāk jums jānorāda pareizās atļaujas:

$ chmod 600 emergency-cert.pub

Pēc tam jūs varat apskatīt sava sertifikāta saturu:

$ step ssh inspect emergency-cert.pub

Manējais izskatās šādi:

emergency-cert.pub
        Type: [email protected] user certificate
        Public key: ECDSA-CERT SHA256:EJSfzfQv1UK44/LOKhBbuh5oRMqxXGBSr+UAzA7cork
        Signing CA: SK-ECDSA SHA256:kLJ7xfTTPQN0G/IF2cq5TB3EitaV4k3XczcBZcLPQ0E
        Key ID: "test-key"
        Serial: 0
        Valid: from 2020-06-24T16:53:03 to 2020-06-24T17:03:03
        Principals:
                ubuntu
        Critical Options: (none)
        Extensions:
                permit-X11-forwarding
                permit-agent-forwarding
                permit-port-forwarding
                permit-pty
                permit-user-rc

Šeit publiskā atslēga ir mūsu izveidotā avārijas atslēga, un sk-user-ca ir saistīta ar sertifikācijas iestādi.

Beidzot mēs esam gatavi palaist SSH komandu:

$ ssh -i emergency ubuntu@my-hostname
ubuntu@my-hostname:~$

1. Tagad varat izveidot sertifikātus jebkuram lietotājam resursdatorā, kas uzticas jūsu sertifikātu iestādei.
2. Varat noņemt ārkārtas situāciju. Varat saglabāt sk-user-ca, taču tas nav nepieciešams, jo tas ir arī drošības atslēgā. Varat arī noņemt sākotnējo PEM publisko atslēgu no saviem saimniekiem (piemēram, ~/.ssh/authorized_keys ubuntu lietotājam), ja izmantojāt to ārkārtas piekļuvei.

Ārkārtas piekļuve: rīcības plāns

Ielīmējiet drošības atslēgu un palaidiet komandu:

$ ssh-add -K

Tādējādi SSH aģentam tiks pievienota sertifikāta iestādes publiskā atslēga un atslēgas deskriptors.

Tagad eksportējiet publisko atslēgu, lai izveidotu sertifikātu:

$ ssh-add -L | tail -1 > sk-user-ca.pub

Izveidojiet sertifikātu ar derīguma termiņu, piemēram, ne ilgāku par stundu:

$ ssh-keygen -t ecdsa -f emergency
$ ssh-keygen -Us sk-user-ca.pub -I test-key -n [username] -V -5m:+60m emergency
$ chmod 600 emergency-cert.pub

Un tagad atkal SSH:

$ ssh -i emergency username@host

Ja jūsu .ssh/config fails rada problēmas, veidojot savienojumu, varat palaist ssh ar opciju -F none, lai to apietu. Ja jums ir jānosūta sertifikāts kolēģim, vienkāršākā un drošākā iespēja ir Burvju tārpu caurums. Lai to izdarītu, jums ir nepieciešami tikai divi faili - mūsu gadījumā avārijas un avārijas-cert.pub.

Tas, kas man patīk šajā pieejā, ir aparatūras atbalsts. Varat ievietot drošības atslēgas seifā, un tās nekur nepazudīs.

Par reklāmas tiesībām

Episkie serveri -Šo lēts VPS ar jaudīgiem AMD procesoriem, CPU kodola frekvence līdz 3.4 GHz. Maksimālā konfigurācija ļauj atrisināt gandrīz jebkuru problēmu – 128 CPU kodoli, 512 GB RAM, 4000 GB NVMe. Pievienojies mums!

Avots: www.habr.com