ഹാർഡ്‌വെയർ കീകൾ ഉപയോഗിച്ച് SSH ഹോസ്റ്റുകളിലേക്ക് അടിയന്തിര ആക്‌സസ് ചെയ്യുന്നതിനുള്ള ഒരു നടപടിക്രമം ഞങ്ങൾ നിർദ്ദേശിക്കുന്നു

ഈ പോസ്റ്റിൽ, ഹാർഡ്‌വെയർ സുരക്ഷാ കീകൾ ഓഫ്‌ലൈനിൽ ഉപയോഗിച്ച് SSH ഹോസ്റ്റുകളിലേക്കുള്ള അടിയന്തര ആക്‌സസിനുള്ള ഒരു നടപടിക്രമം ഞങ്ങൾ വികസിപ്പിക്കും. ഇത് ഒരു സമീപനം മാത്രമാണ്, നിങ്ങളുടെ ആവശ്യങ്ങൾക്ക് അനുയോജ്യമായ രീതിയിൽ നിങ്ങൾക്ക് ഇത് ക്രമീകരിക്കാൻ കഴിയും. ഹാർഡ്‌വെയർ സുരക്ഷാ കീയിൽ ഞങ്ങളുടെ ഹോസ്റ്റുകൾക്കായി ഞങ്ങൾ SSH സർട്ടിഫിക്കറ്റ് അതോറിറ്റി സംഭരിക്കും. ഒറ്റ സൈൻ-ഓൺ ഉള്ള SSH ഉൾപ്പെടെ മിക്കവാറും എല്ലാ OpenSSH-ലും ഈ സ്കീം പ്രവർത്തിക്കും.

ഇതെല്ലാം എന്തിനുവേണ്ടിയാണ്? ശരി, ഇത് അവസാന ആശ്രയമാണ്. ചില കാരണങ്ങളാൽ മറ്റൊന്നും പ്രവർത്തിക്കുമ്പോൾ നിങ്ങളുടെ സെർവറിലേക്ക് പ്രവേശനം നേടാൻ നിങ്ങളെ അനുവദിക്കുന്ന ഒരു പിൻവാതിലാണിത്.

അടിയന്തര പ്രവേശനത്തിന് പൊതു/സ്വകാര്യ കീകൾക്ക് പകരം സർട്ടിഫിക്കറ്റുകൾ ഉപയോഗിക്കുന്നത് എന്തുകൊണ്ട്?

• പൊതു കീകളിൽ നിന്ന് വ്യത്യസ്തമായി, സർട്ടിഫിക്കറ്റുകൾക്ക് വളരെ ചെറിയ ആയുസ്സ് മാത്രമേ ഉണ്ടാകൂ. നിങ്ങൾക്ക് 1 മിനിറ്റ് അല്ലെങ്കിൽ 5 സെക്കൻഡ് വരെ സാധുതയുള്ള ഒരു സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കാൻ കഴിയും. ഈ കാലയളവിനുശേഷം, പുതിയ കണക്ഷനുകൾക്ക് സർട്ടിഫിക്കറ്റ് ഉപയോഗശൂന്യമാകും. അടിയന്തിര പ്രവേശനത്തിന് ഇത് അനുയോജ്യമാണ്.
• നിങ്ങളുടെ ഹോസ്റ്റുകളിലെ ഏത് അക്കൗണ്ടിനും നിങ്ങൾക്ക് ഒരു സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കാനും ആവശ്യമെങ്കിൽ സഹപ്രവർത്തകർക്ക് അത്തരം "ഒറ്റത്തവണ" സർട്ടിഫിക്കറ്റുകൾ അയയ്ക്കാനും കഴിയും.

നിങ്ങൾക്ക് എന്താണ് വേണ്ടത്

• റസിഡന്റ് കീകളെ പിന്തുണയ്ക്കുന്ന ഹാർഡ്‌വെയർ സുരക്ഷാ കീകൾ.
  പൂർണ്ണമായും സുരക്ഷാ കീയിൽ സംഭരിച്ചിരിക്കുന്ന ക്രിപ്‌റ്റോഗ്രാഫിക് കീകളാണ് റെസിഡന്റ് കീകൾ. ചിലപ്പോൾ അവ ഒരു ആൽഫാന്യൂമെറിക് പിൻ ഉപയോഗിച്ച് സംരക്ഷിക്കപ്പെടുന്നു. സ്വകാര്യ കീ ഹാൻഡിലിനൊപ്പം ഓപ്ഷണലായി സുരക്ഷാ കീയിൽ നിന്ന് റസിഡന്റ് കീയുടെ പൊതു ഭാഗം എക്‌സ്‌പോർട്ടുചെയ്യാനാകും. ഉദാഹരണത്തിന്, Yubikey 5 സീരീസ് USB കീകൾ റസിഡന്റ് കീകളെ പിന്തുണയ്‌ക്കുന്നു. അവ ഹോസ്റ്റിലേക്കുള്ള അടിയന്തര ആക്‌സസിന് വേണ്ടി മാത്രമുള്ളതാണ് ഉചിതം. ഈ പോസ്റ്റിനായി ഞാൻ ഒരു കീ മാത്രമേ ഉപയോഗിക്കൂ, എന്നാൽ ബാക്കപ്പിനായി നിങ്ങൾക്ക് ഒരെണ്ണം കൂടി ഉണ്ടായിരിക്കണം.
• ആ താക്കോലുകൾ സൂക്ഷിക്കാൻ സുരക്ഷിതമായ സ്ഥലം.
• ഓപ്പൺഎസ്എസ്എച്ച് പതിപ്പ് 8.2 അല്ലെങ്കിൽ ഉയർന്നത് നിങ്ങളുടെ ലോക്കൽ കമ്പ്യൂട്ടറിലും നിങ്ങൾക്ക് അടിയന്തര ആക്സസ് ലഭിക്കാൻ ആഗ്രഹിക്കുന്ന സെർവറുകളിലും. ഓപ്പൺഎസ്എസ്എച്ച് 20.04 ഉപയോഗിച്ച് ഉബുണ്ടു 8.2 അയയ്ക്കുന്നു.
• (ഓപ്ഷണൽ, എന്നാൽ ശുപാർശ ചെയ്യുന്നത്) സർട്ടിഫിക്കറ്റുകൾ പരിശോധിക്കുന്നതിനുള്ള ഒരു CLI ടൂൾ.

തയ്യാറാക്കൽ

ആദ്യം, നിങ്ങൾ ഹാർഡ്‌വെയർ സുരക്ഷാ കീയിൽ സ്ഥിതി ചെയ്യുന്ന ഒരു സർട്ടിഫിക്കേഷൻ അതോറിറ്റി സൃഷ്ടിക്കേണ്ടതുണ്ട്. കീ തിരുകുക, പ്രവർത്തിപ്പിക്കുക:

$ ssh-keygen -t ecdsa-sk -f sk-user-ca -O resident -C [security key ID]

ഒരു കമന്റായി (-C) ഞാൻ സൂചിപ്പിച്ചു [ഇമെയിൽ പരിരക്ഷിച്ചിരിക്കുന്നു]അതിനാൽ ഈ സർട്ടിഫിക്കറ്റ് അതോറിറ്റിയുടെ ഏത് സുരക്ഷാ കീയാണ് നിങ്ങൾ മറക്കരുത്.

Yubikey ലേക്ക് കീ ചേർക്കുന്നതിനു പുറമേ, രണ്ട് ഫയലുകൾ പ്രാദേശികമായി ജനറേറ്റുചെയ്യും:

1. sk-user-ca, സുരക്ഷാ കീയിൽ സംഭരിച്ചിരിക്കുന്ന സ്വകാര്യ കീയെ സൂചിപ്പിക്കുന്ന ഒരു കീ ഹാൻഡിൽ,
2. sk-user-ca.pub, അത് നിങ്ങളുടെ സർട്ടിഫിക്കറ്റ് അതോറിറ്റിയുടെ പൊതു കീ ആയിരിക്കും.

എന്നാൽ വിഷമിക്കേണ്ട, വീണ്ടെടുക്കാൻ കഴിയാത്ത മറ്റൊരു സ്വകാര്യ കീ യുബികെ സംഭരിക്കുന്നു. അതിനാൽ, ഇവിടെ എല്ലാം വിശ്വസനീയമാണ്.

ഹോസ്റ്റുകളിൽ, റൂട്ട് ആയി, നിങ്ങളുടെ SSHD കോൺഫിഗറേഷനിൽ (/etc/ssh/sshd_config) ഇനിപ്പറയുന്നവ ചേർക്കുക (നിങ്ങൾ ഇതിനകം ഇല്ലെങ്കിൽ):

TrustedUserCAKeys /etc/ssh/ca.pub

തുടർന്ന് ഹോസ്റ്റിൽ, /etc/ssh/ca.pub-ലേക്ക് പൊതു കീ (sk-user-ca.pub) ചേർക്കുക

ഡെമൺ പുനരാരംഭിക്കുക:

# /etc/init.d/ssh restart

ഇപ്പോൾ നമുക്ക് ഹോസ്റ്റ് ആക്സസ് ചെയ്യാൻ ശ്രമിക്കാം. എന്നാൽ ആദ്യം ഞങ്ങൾക്ക് ഒരു സർട്ടിഫിക്കറ്റ് ആവശ്യമാണ്. സർട്ടിഫിക്കറ്റുമായി ബന്ധപ്പെടുത്തുന്ന ഒരു കീ ജോഡി സൃഷ്ടിക്കുക:

$ ssh-keygen -t ecdsa -f emergency

സർട്ടിഫിക്കറ്റുകളും SSH ജോഡികളും
ഒരു പൊതു/സ്വകാര്യ കീ ജോഡിക്ക് പകരമായി ഒരു സർട്ടിഫിക്കറ്റ് ഉപയോഗിക്കുന്നത് ചിലപ്പോൾ പ്രലോഭനമാണ്. എന്നാൽ ഒരു ഉപയോക്താവിനെ ആധികാരികമാക്കാൻ ഒരു സർട്ടിഫിക്കറ്റ് മാത്രം പോരാ. ഓരോ സർട്ടിഫിക്കറ്റിനും അതുമായി ബന്ധപ്പെട്ട ഒരു സ്വകാര്യ കീയും ഉണ്ട്. അതുകൊണ്ടാണ് ഞങ്ങൾ സ്വയം ഒരു സർട്ടിഫിക്കറ്റ് നൽകുന്നതിന് മുമ്പ് ഈ "അടിയന്തര" കീ ജോഡി സൃഷ്ടിക്കേണ്ടത്. പ്രധാന കാര്യം, ഞങ്ങൾ ഒപ്പിട്ട സർട്ടിഫിക്കറ്റ് സെർവറിലേക്ക് കാണിക്കുന്നു, ഞങ്ങൾക്ക് ഒരു സ്വകാര്യ കീ ഉള്ള കീ ജോഡിയെ സൂചിപ്പിക്കുന്നു.

അതിനാൽ പൊതു കീ കൈമാറ്റം ഇപ്പോഴും സജീവമാണ്. സർട്ടിഫിക്കറ്റുകൾക്കൊപ്പം പോലും ഇത് പ്രവർത്തിക്കുന്നു. സർ‌ട്ടിഫിക്കറ്റുകൾ‌ പൊതു കീകൾ‌ സംഭരിക്കുന്നതിനുള്ള സെർ‌വറിന്റെ ആവശ്യകത ഇല്ലാതാക്കുന്നു.

അടുത്തതായി, സർട്ടിഫിക്കറ്റ് തന്നെ സൃഷ്ടിക്കുക. എനിക്ക് 10 മിനിറ്റ് ഇടവേളയിൽ ഉബുണ്ടു ഉപയോക്തൃ അംഗീകാരം ആവശ്യമാണ്. നിങ്ങൾക്കത് നിങ്ങളുടെ രീതിയിൽ ചെയ്യാം.

$ ssh-keygen -s sk-user-ca -I test-key -n ubuntu -V -5m:+5m emergency

നിങ്ങളുടെ വിരലടയാളം ഉപയോഗിച്ച് സർട്ടിഫിക്കറ്റിൽ ഒപ്പിടാൻ നിങ്ങളോട് ആവശ്യപ്പെടും. നിങ്ങൾക്ക് കോമകളാൽ വേർതിരിച്ച അധിക ഉപയോക്തൃനാമങ്ങൾ ചേർക്കാൻ കഴിയും, ഉദാഹരണത്തിന് -n ubuntu,carl,ec2-user

അത്രയേയുള്ളൂ, ഇപ്പോൾ നിങ്ങൾക്ക് ഒരു സർട്ടിഫിക്കറ്റ് ഉണ്ട്! അടുത്തതായി നിങ്ങൾ ശരിയായ അനുമതികൾ വ്യക്തമാക്കേണ്ടതുണ്ട്:

$ chmod 600 emergency-cert.pub

ഇതിനുശേഷം, നിങ്ങളുടെ സർട്ടിഫിക്കറ്റിലെ ഉള്ളടക്കങ്ങൾ നിങ്ങൾക്ക് കാണാൻ കഴിയും:

$ step ssh inspect emergency-cert.pub

എന്റെ രൂപം ഇങ്ങനെയാണ്:

emergency-cert.pub
        Type: [email protected] user certificate
        Public key: ECDSA-CERT SHA256:EJSfzfQv1UK44/LOKhBbuh5oRMqxXGBSr+UAzA7cork
        Signing CA: SK-ECDSA SHA256:kLJ7xfTTPQN0G/IF2cq5TB3EitaV4k3XczcBZcLPQ0E
        Key ID: "test-key"
        Serial: 0
        Valid: from 2020-06-24T16:53:03 to 2020-06-24T17:03:03
        Principals:
                ubuntu
        Critical Options: (none)
        Extensions:
                permit-X11-forwarding
                permit-agent-forwarding
                permit-port-forwarding
                permit-pty
                permit-user-rc

ഇവിടെ പൊതു കീ ഞങ്ങൾ സൃഷ്ടിച്ച എമർജൻസി കീയാണ്, കൂടാതെ sk-user-ca സർട്ടിഫിക്കേഷൻ അതോറിറ്റിയുമായി ബന്ധപ്പെട്ടിരിക്കുന്നു.

അവസാനമായി ഞങ്ങൾ SSH കമാൻഡ് പ്രവർത്തിപ്പിക്കാൻ തയ്യാറാണ്:

$ ssh -i emergency ubuntu@my-hostname
ubuntu@my-hostname:~$

1. നിങ്ങളുടെ സർട്ടിഫിക്കറ്റ് അതോറിറ്റിയെ വിശ്വസിക്കുന്ന ഒരു ഹോസ്റ്റിലെ ഏതൊരു ഉപയോക്താവിനും ഇപ്പോൾ നിങ്ങൾക്ക് സർട്ടിഫിക്കറ്റുകൾ സൃഷ്ടിക്കാൻ കഴിയും.
2. നിങ്ങൾക്ക് അടിയന്തരാവസ്ഥ നീക്കം ചെയ്യാം. നിങ്ങൾക്ക് sk-user-ca സംരക്ഷിക്കാൻ കഴിയും, എന്നാൽ അത് സുരക്ഷാ കീയിലായതിനാൽ നിങ്ങൾക്ക് ആവശ്യമില്ല. നിങ്ങളുടെ ഹോസ്റ്റുകളിൽ നിന്ന് യഥാർത്ഥ PEM പബ്ലിക് കീ നീക്കം ചെയ്യാനും നിങ്ങൾ ആഗ്രഹിച്ചേക്കാം (ഉദാഹരണത്തിന് ഉബുണ്ടു ഉപയോക്താവിനുള്ള ~/.ssh/authorized_keys-ൽ) നിങ്ങൾ അത് അടിയന്തിര ആക്‌സസ്സിനായി ഉപയോഗിച്ചിട്ടുണ്ടെങ്കിൽ.

അടിയന്തര ആക്സസ്: പ്രവർത്തന പദ്ധതി

സുരക്ഷാ കീ ഒട്ടിച്ച് കമാൻഡ് പ്രവർത്തിപ്പിക്കുക:

$ ssh-add -K

ഇത് സർട്ടിഫിക്കറ്റ് അതോറിറ്റിയുടെ പൊതു കീയും കീ ഡിസ്ക്രിപ്റ്ററും SSH ഏജന്റിലേക്ക് ചേർക്കും.

ഇപ്പോൾ ഒരു സർട്ടിഫിക്കറ്റ് ഉണ്ടാക്കാൻ പൊതു കീ കയറ്റുമതി ചെയ്യുക:

$ ssh-add -L | tail -1 > sk-user-ca.pub

കാലഹരണപ്പെടൽ തീയതിയുള്ള ഒരു സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കുക, ഉദാഹരണത്തിന്, ഒരു മണിക്കൂറിൽ കൂടരുത്:

$ ssh-keygen -t ecdsa -f emergency
$ ssh-keygen -Us sk-user-ca.pub -I test-key -n [username] -V -5m:+60m emergency
$ chmod 600 emergency-cert.pub

ഇപ്പോൾ വീണ്ടും SSH:

$ ssh -i emergency username@host

നിങ്ങളുടെ .ssh/config ഫയൽ കണക്‌റ്റ് ചെയ്യുമ്പോൾ ചില പ്രശ്‌നങ്ങൾ ഉണ്ടാക്കുന്നുണ്ടെങ്കിൽ, അത് മറികടക്കാൻ -F none ഓപ്ഷൻ ഉപയോഗിച്ച് നിങ്ങൾക്ക് ssh പ്രവർത്തിപ്പിക്കാം. നിങ്ങൾക്ക് ഒരു സഹപ്രവർത്തകന് ഒരു സർട്ടിഫിക്കറ്റ് അയയ്‌ക്കണമെങ്കിൽ, ഏറ്റവും എളുപ്പവും സുരക്ഷിതവുമായ ഓപ്ഷൻ മാജിക് വേംഹോൾ. ഇത് ചെയ്യുന്നതിന്, നിങ്ങൾക്ക് രണ്ട് ഫയലുകൾ മാത്രമേ ആവശ്യമുള്ളൂ - ഞങ്ങളുടെ കാര്യത്തിൽ, എമർജൻസി, എമർജൻസി-സെർട്ട്.പബ്.

ഈ സമീപനത്തെക്കുറിച്ച് ഞാൻ ഇഷ്ടപ്പെടുന്നത് ഹാർഡ്‌വെയർ പിന്തുണയാണ്. നിങ്ങളുടെ സുരക്ഷാ കീകൾ സുരക്ഷിതമായി വയ്ക്കാം, അവ എവിടെയും പോകില്ല.

ഒരു പരസ്യമായി

എപിക് സെർവറുകൾ ആണ് വിലകുറഞ്ഞ VPS എഎംഡിയിൽ നിന്നുള്ള ശക്തമായ പ്രോസസറുകൾക്കൊപ്പം, 3.4 GHz വരെ CPU കോർ ഫ്രീക്വൻസി. ഏത് പ്രശ്‌നവും പരിഹരിക്കാൻ പരമാവധി കോൺഫിഗറേഷൻ നിങ്ങളെ അനുവദിക്കുന്നു - 128 സിപിയു കോറുകൾ, 512 ജിബി റാം, 4000 ജിബി എൻവിഎം. ഞങ്ങൾക്കൊപ്പം ചേരുക!

അവലംബം: www.habr.com