आम्ही हार्डवेअर कीसह SSH होस्टवर आपत्कालीन प्रवेशासाठी एक प्रक्रिया लिहून देतो

या पोस्टमध्ये, आम्ही हार्डवेअर सिक्युरिटी की ऑफलाइन वापरून SSH होस्टवर आपत्कालीन प्रवेशासाठी एक प्रक्रिया विकसित करू. हा फक्त एक दृष्टीकोन आहे आणि तुम्ही तुमच्या गरजेनुसार ते जुळवून घेऊ शकता. आम्ही हार्डवेअर सिक्युरिटी की वर आमच्या होस्टसाठी SSH प्रमाणपत्र प्राधिकरण संचयित करू. ही योजना एकल साइन-ऑनसह SSH सह जवळजवळ कोणत्याही OpenSSH वर कार्य करेल.

हे सर्व कशासाठी आहे? बरं, हा शेवटचा उपाय आहे. हे एक बॅकडोअर आहे जे काही कारणास्तव इतर काहीही काम करत नसताना तुम्हाला तुमच्या सर्व्हरवर प्रवेश मिळवू देते.

आपत्कालीन प्रवेशासाठी सार्वजनिक/खाजगी की ऐवजी प्रमाणपत्रे का वापरायची?

• सार्वजनिक कीच्या विपरीत, प्रमाणपत्रांचे आयुष्य खूप कमी असू शकते. तुम्ही प्रमाणपत्र व्युत्पन्न करू शकता जे 1 मिनिट किंवा अगदी 5 सेकंदांसाठी वैध आहे. या कालावधीनंतर, प्रमाणपत्र नवीन कनेक्शनसाठी निरुपयोगी होईल. हे आपत्कालीन प्रवेशासाठी आदर्श आहे.
• तुम्ही तुमच्या होस्टवरील कोणत्याही खात्यासाठी प्रमाणपत्र तयार करू शकता आणि आवश्यक असल्यास, अशी “एक-वेळ” प्रमाणपत्रे सहकार्यांना पाठवू शकता.

आपल्याला काय पाहिजे

• निवासी कळांना सपोर्ट करणाऱ्या हार्डवेअर सुरक्षा की.
  निवासी की या क्रिप्टोग्राफिक की आहेत ज्या पूर्णपणे सुरक्षा कीमध्ये संग्रहित केल्या जातात. कधीकधी ते अल्फान्यूमेरिक पिनद्वारे संरक्षित केले जातात. निवासी की चा सार्वजनिक भाग सुरक्षितता की वरून, पर्यायाने खाजगी की हँडलसह निर्यात केला जाऊ शकतो. उदाहरणार्थ, Yubikey 5 मालिका USB की रहिवासी की ला समर्थन देतात. हे उचित आहे की ते केवळ होस्टला आणीबाणीच्या प्रवेशासाठी आहेत. या पोस्टसाठी मी फक्त एक की वापरेन, परंतु तुमच्याकडे बॅकअपसाठी अतिरिक्त एक असणे आवश्यक आहे.
• त्या चाव्या ठेवण्यासाठी एक सुरक्षित जागा.
• तुमच्‍या स्‍थानिक संगणकावर आणि तुम्‍हाला आपत्‍कालीन प्रवेश करण्‍याची इच्‍छित असलेल्‍या सर्व्हरवर OpenSSH आवृत्ती 8.2 किंवा उच्च. उबंटू २०.०४ ओपनएसएसएच ८.२ सह पाठवते.
• (पर्यायी, परंतु शिफारस केलेले) प्रमाणपत्रे तपासण्यासाठी एक CLI साधन.

प्रशिक्षण

प्रथम, तुम्हाला हार्डवेअर सिक्युरिटी की वर स्थित प्रमाणन प्राधिकरण तयार करणे आवश्यक आहे. की घाला आणि चालवा:

$ ssh-keygen -t ecdsa-sk -f sk-user-ca -O resident -C [security key ID]

टिप्पणी म्हणून (-C) मी सूचित केले [ईमेल संरक्षित]त्यामुळे हे प्रमाणपत्र प्राधिकरण कोणत्या सुरक्षा कीशी संबंधित आहे हे तुम्ही विसरू नका.

Yubikey मध्ये की जोडण्याव्यतिरिक्त, दोन फाइल्स स्थानिकरित्या व्युत्पन्न केल्या जातील:

1. sk-user-ca, एक की हँडल जे सिक्युरिटी की मध्ये साठवलेल्या खाजगी कीचा संदर्भ देते,
2. sk-user-ca.pub, जी तुमच्या प्रमाणपत्र प्राधिकरणासाठी सार्वजनिक की असेल.

परंतु काळजी करू नका, Yubikey दुसरी खाजगी की संग्रहित करते जी पुनर्प्राप्त केली जाऊ शकत नाही. म्हणून, येथे सर्वकाही विश्वसनीय आहे.

होस्टवर, रूट म्हणून, तुमच्या SSHD कॉन्फिगरेशनमध्ये (/etc/ssh/sshd_config) खालील गोष्टी जोडा (जर तुमच्याकडे आधीपासून नसेल):

TrustedUserCAKeys /etc/ssh/ca.pub

नंतर होस्टवर, सार्वजनिक की (sk-user-ca.pub) /etc/ssh/ca.pub वर जोडा

डिमन रीस्टार्ट करा:

# /etc/init.d/ssh restart

आता आपण होस्टमध्ये प्रवेश करण्याचा प्रयत्न करू शकतो. परंतु प्रथम आम्हाला प्रमाणपत्र आवश्यक आहे. सर्टिफिकेटशी संबंधित असणारी की जोडी तयार करा:

$ ssh-keygen -t ecdsa -f emergency

प्रमाणपत्रे आणि SSH जोड्या
काहीवेळा सार्वजनिक/खाजगी की जोडीसाठी बदली म्हणून प्रमाणपत्र वापरण्याचा मोह होतो. परंतु वापरकर्त्याचे प्रमाणीकरण करण्यासाठी केवळ प्रमाणपत्र पुरेसे नाही. प्रत्येक प्रमाणपत्राशी संबंधित एक खाजगी की देखील असते. म्हणूनच आम्ही स्वतःला प्रमाणपत्र जारी करण्यापूर्वी ही "आणीबाणी" की जोडी तयार करणे आवश्यक आहे. महत्त्वाची गोष्ट अशी आहे की आम्ही स्वाक्षरी केलेले प्रमाणपत्र सर्व्हरला दाखवतो, ज्यासाठी आमच्याकडे खाजगी की आहे ती की जोडी दर्शवते.

त्यामुळे सार्वजनिक की एक्सचेंज अजूनही जिवंत आणि चांगले आहे. हे प्रमाणपत्रांसह देखील कार्य करते. प्रमाणपत्रे फक्त सार्वजनिक की संचयित करण्यासाठी सर्व्हरची आवश्यकता दूर करतात.

पुढे, प्रमाणपत्र स्वतः तयार करा. मला 10 मिनिटांच्या अंतराने उबंटू वापरकर्ता अधिकृतता आवश्यक आहे. तुम्ही तुमच्या पद्धतीने करू शकता.

$ ssh-keygen -s sk-user-ca -I test-key -n ubuntu -V -5m:+5m emergency

तुम्हाला तुमचे फिंगरप्रिंट वापरून प्रमाणपत्रावर स्वाक्षरी करण्यास सांगितले जाईल. तुम्ही स्वल्पविरामाने विभक्त केलेली अतिरिक्त वापरकर्ता नावे जोडू शकता, उदाहरणार्थ -n ubuntu,carl,ec2-user

बस्स, आता तुमच्याकडे प्रमाणपत्र आहे! पुढे तुम्हाला योग्य परवानग्या निर्दिष्ट करण्याची आवश्यकता आहे:

$ chmod 600 emergency-cert.pub

यानंतर, तुम्ही तुमच्या प्रमाणपत्राची सामग्री पाहू शकता:

$ step ssh inspect emergency-cert.pub

माझे असे दिसते:

emergency-cert.pub
        Type: [email protected] user certificate
        Public key: ECDSA-CERT SHA256:EJSfzfQv1UK44/LOKhBbuh5oRMqxXGBSr+UAzA7cork
        Signing CA: SK-ECDSA SHA256:kLJ7xfTTPQN0G/IF2cq5TB3EitaV4k3XczcBZcLPQ0E
        Key ID: "test-key"
        Serial: 0
        Valid: from 2020-06-24T16:53:03 to 2020-06-24T17:03:03
        Principals:
                ubuntu
        Critical Options: (none)
        Extensions:
                permit-X11-forwarding
                permit-agent-forwarding
                permit-port-forwarding
                permit-pty
                permit-user-rc

येथे सार्वजनिक की आम्ही तयार केलेली आणीबाणी की आहे आणि sk-user-ca प्रमाणन प्राधिकरणाशी संबंधित आहे.

शेवटी आम्ही SSH कमांड चालवण्यास तयार आहोत:

$ ssh -i emergency ubuntu@my-hostname
ubuntu@my-hostname:~$

1. तुम्‍ही आता तुमच्‍या प्रमाणपत्र अधिकार्‍यावर विश्‍वास ठेवणार्‍या होस्टवर कोणत्याही वापरकर्त्यासाठी प्रमाणपत्रे तयार करू शकता.
2. आपण आणीबाणी काढू शकता. तुम्ही sk-user-ca सेव्ह करू शकता, पण ते सिक्युरिटी की वर असल्यामुळे तुम्हाला याची गरज नाही. तुम्ही तुमच्या होस्टमधून मूळ PEM सार्वजनिक की (उदाहरणार्थ ubuntu वापरकर्त्यासाठी ~/.ssh/authorized_keys मध्ये) तुम्ही आणीबाणीच्या प्रवेशासाठी वापरली असल्यास ती काढून टाकू शकता.

आपत्कालीन प्रवेश: कृती योजना

सुरक्षा की पेस्ट करा आणि कमांड चालवा:

$ ssh-add -K

हे SSH एजंटमध्ये प्रमाणपत्र प्राधिकरणाची सार्वजनिक की आणि की वर्णनकर्ता जोडेल.

आता प्रमाणपत्र बनवण्यासाठी सार्वजनिक की निर्यात करा:

$ ssh-add -L | tail -1 > sk-user-ca.pub

कालबाह्यता तारखेसह प्रमाणपत्र तयार करा, उदाहरणार्थ, एका तासापेक्षा जास्त नाही:

$ ssh-keygen -t ecdsa -f emergency
$ ssh-keygen -Us sk-user-ca.pub -I test-key -n [username] -V -5m:+60m emergency
$ chmod 600 emergency-cert.pub

आणि आता पुन्हा SSH:

$ ssh -i emergency username@host

जर तुमची .ssh/config फाइल कनेक्ट करताना काही समस्या निर्माण करत असेल, तर तुम्ही ते बायपास करण्यासाठी -F none पर्यायाने ssh चालवू शकता. तुम्हाला एखाद्या सहकाऱ्याला प्रमाणपत्र पाठवायचे असल्यास, सर्वात सोपा आणि सुरक्षित पर्याय आहे मॅजिक वर्महोल. हे करण्यासाठी, आपल्याला फक्त दोन फाइल्सची आवश्यकता आहे - आमच्या बाबतीत, आपत्कालीन आणि आपातकालीन-cert.pub.

या दृष्टिकोनाबद्दल मला जे आवडते ते हार्डवेअर समर्थन आहे. तुम्ही तुमच्या सिक्युरिटी की एका तिजोरीत ठेवू शकता आणि त्या कुठेही जाणार नाहीत.

जाहिरातींच्या अधिकारांवर

एपिक सर्व्हर - हे आहे स्वस्त VPS AMD, CPU कोर फ्रिक्वेन्सी 3.4 GHz पर्यंत शक्तिशाली प्रोसेसरसह. जास्तीत जास्त कॉन्फिगरेशन आपल्याला जवळजवळ कोणतीही समस्या सोडविण्यास अनुमती देते - 128 CPU कोर, 512 GB RAM, 4000 GB NVMe. आमच्यात सामील व्हा!

स्त्रोत: www.habr.com