ကျွန်ုပ်တို့သည် ဟာ့ဒ်ဝဲသော့များဖြင့် SSH host များသို့ အရေးပေါ်ဝင်ရောက်ခွင့်အတွက် လုပ်ထုံးလုပ်နည်းကို ပြဌာန်းထားပါသည်။

ဤပို့စ်တွင်၊ ကျွန်ုပ်တို့သည် ဟာ့ဒ်ဝဲလုံခြုံရေးသော့များကို အော့ဖ်လိုင်းသုံး၍ SSH host များသို့ အရေးပေါ်ဝင်ရောက်ခွင့်အတွက် လုပ်ထုံးလုပ်နည်းကို ပြုစုပါမည်။ ဤသည်မှာ ချဉ်းကပ်နည်းတစ်ခုမျှသာဖြစ်ပြီး သင့်လိုအပ်ချက်များနှင့်ကိုက်ညီအောင် လိုက်လျောညီထွေဖြစ်စေနိုင်သည်။ ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏အိမ်ရှင်များအတွက် SSH လက်မှတ်အခွင့်အာဏာကို ဟာ့ဒ်ဝဲလုံခြုံရေးကီးတွင် သိမ်းဆည်းပါမည်။ ဤအစီအစဥ်သည် SSH အပါအဝင် OpenSSH တိုင်းနီးပါးတွင် လုပ်ဆောင်နိုင်မည်ဖြစ်သည်။

ဒါတွေအားလုံးက ဘာအတွက်လဲ။ ကောင်းပြီ၊ ဒါက နောက်ဆုံးရွေးချယ်မှုတစ်ခုပါ။ အကြောင်းတစ်ခုခုကြောင့် အခြားမည်သည့်အရာမျှ အလုပ်မလုပ်သောအခါတွင် ဤအရာသည် သင့်ဆာဗာသို့ ဝင်ရောက်ခွင့်ရရှိစေမည့် backdoor တစ်ခုဖြစ်သည်။

အရေးပေါ်အသုံးပြုခွင့်အတွက် အများသူငှာ/ပုဂ္ဂလိကသော့များအစား လက်မှတ်များကို အဘယ်ကြောင့်အသုံးပြုသနည်း။

• အများသူငှာသော့များနှင့်မတူဘဲ၊ လက်မှတ်များသည် အလွန်တိုတောင်းသော သက်တမ်းရှိသည်။ သင်သည် 1 မိနစ် သို့မဟုတ် 5 စက္ကန့်ပင် သက်တမ်းရှိသော လက်မှတ်ကို ထုတ်ပေးနိုင်သည်။ ဤကာလပြီးနောက်၊ ချိတ်ဆက်မှုအသစ်အတွက် လက်မှတ်သည် အသုံးမပြုနိုင်တော့ပါ။ ၎င်းသည် အရေးပေါ်အသုံးပြုရန် စံပြဖြစ်သည်။
• သင့်အိမ်ရှင်များရှိ မည်သည့်အကောင့်အတွက်မဆို လက်မှတ်တစ်ခုဖန်တီးနိုင်ပြီး လိုအပ်ပါက ထိုကဲ့သို့သော “တစ်ကြိမ်တည်း” လက်မှတ်များကို လုပ်ဖော်ကိုင်ဖက်များထံ ပေးပို့နိုင်ပါသည်။

သင်လိုအပ်ပါလိမ့်မယ်အဘယျသို့

• နေထိုင်သူကီးများကို ပံ့ပိုးပေးသည့် ဟာ့ဒ်ဝဲလုံခြုံရေးကီးများ။
  နေထိုင်သူကီးများသည် လုံခြုံရေးသော့အတွင်း လုံးလုံးလျားလျား သိမ်းဆည်းထားသည့် လျှို့ဝှက်သင်္ကေတများဖြစ်သည်။ တစ်ခါတစ်ရံ ၎င်းတို့ကို အက္ခရာဂဏန်း PIN ဖြင့် ကာကွယ်ထားသည်။ နေထိုင်သူကီး၏ အများသူငှာ အစိတ်အပိုင်းကို လုံခြုံရေးသော့မှ ထုတ်ယူနိုင်ပြီး၊ သီးသန့်သော့လက်ကိုင်ဖြင့် ရွေးချယ်နိုင်သည်။ ဥပမာအားဖြင့်၊ Yubikey 5 စီးရီး USB ကီးများသည် နေထိုင်သူကီးများကို ပံ့ပိုးပေးပါသည်။ ၎င်းတို့ကို လက်ခံရရှိရန် အရေးပေါ်အသုံးပြုရန်အတွက်သာ ရည်ရွယ်ထားကြောင်း အကြံပြုအပ်ပါသည်။ ဤပို့စ်အတွက် ကျွန်ုပ်သည် သော့တစ်ခုသာ အသုံးပြုပါမည်၊ သို့သော် အရန်ကူးရန်အတွက် နောက်ထပ်တစ်ခု ရှိသင့်ပါသည်။
• ထိုသော့များကို သိမ်းဆည်းရန် လုံခြုံသောနေရာ။
• OpenSSH ဗားရှင်း 8.2 နှင့်အထက် သင့်စက်တွင်းကွန်ပြူတာနှင့် အရေးပေါ်အသုံးပြုခွင့်ရလိုသော ဆာဗာများတွင်။ Ubuntu 20.04 သည် OpenSSH 8.2 ဖြင့် ပေးပို့သည်။
• (ရွေးချယ်နိုင်သော်လည်း အကြံပြုထားသည်) လက်မှတ်များကို စစ်ဆေးရန်အတွက် CLI ကိရိယာ။

လေ့ကျင့်ရေး

ပထမဦးစွာ၊ သင်သည် ဟာ့ဒ်ဝဲလုံခြုံရေးသော့ပေါ်တွင် ထားရှိမည့် အသိအမှတ်ပြု အခွင့်အာဏာကို ဖန်တီးရန် လိုအပ်သည်။ သော့ကိုထည့်သွင်းပြီး run

$ ssh-keygen -t ecdsa-sk -f sk-user-ca -O resident -C [security key ID]

မှတ်ချက် (-C) အဖြစ် ကျွန်တော် ညွှန်ပြခဲ့သည်။ [အီးမေးလ်ကိုကာကွယ်ထားသည်]ဒါကြောင့် ဒီလက်မှတ်အာဏာပိုင်က ဘယ်လုံခြုံရေးသော့ဆိုတာကို မမေ့ပါနဲ့။

Yubikey တွင် သော့ထည့်ခြင်းအပြင်၊ စက်တွင်း၌ ဖိုင်နှစ်ဖိုင်ထုတ်ပေးပါမည်-

1. sk-user-ca၊ လုံခြုံရေးကီးတွင် သိမ်းဆည်းထားသော သီးသန့်သော့ကို ရည်ညွှန်းသော သော့လက်ကိုင်တစ်ခု၊
2. သင့်လက်မှတ်အာဏာပိုင်အတွက် အများသူငှာသော့ဖြစ်မည့် sk-user-ca.pub။

သို့သော် စိတ်မပူပါနှင့်၊ Yubikey သည် ပြန်ယူ၍မရသော အခြားသီးသန့်သော့ကို သိမ်းဆည်းထားသည်။ ထို့ကြောင့် ဤနေရာ၌ အရာအားလုံးသည် စိတ်ချရသည်။

root အနေဖြင့်၊ hosts တွင်၊ (သင်မရသေးပါက) အောက်ပါတို့ကို သင်၏ SSHD configuration (/etc/ssh/sshd_config) သို့ ထည့်ပါ။

TrustedUserCAKeys /etc/ssh/ca.pub

ထို့နောက် host တွင် အများသူငှာသော့ (sk-user-ca.pub) ကို /etc/ssh/ca.pub သို့ထည့်ပါ။

daemon ကို ပြန်လည်စတင်ပါ-

# /etc/init.d/ssh restart

ယခုကျွန်ုပ်တို့သည် host ကိုဝင်ရောက်ရန်ကြိုးစားနိုင်သည်။ ဒါပေမယ့် အရင်ဆုံး လက်မှတ်လိုတယ်။ လက်မှတ်နှင့်ဆက်စပ်မည့် သော့တွဲတစ်ခုကို ဖန်တီးပါ-

$ ssh-keygen -t ecdsa -f emergency

လက်မှတ်များနှင့် SSH အတွဲများ
တစ်ခါတစ်ရံတွင် အများသူငှာ/ပုဂ္ဂလိကသော့အတွဲကို အစားထိုးရန်အတွက် လက်မှတ်ကို အသုံးပြုရန် ဆွဲဆောင်မှုရှိသည်။ သို့သော် အသုံးပြုသူတစ်ဦးအား စစ်မှန်ကြောင်းသက်သေပြရန် လက်မှတ်တစ်ခုတည်းနှင့် မလုံလောက်ပါ။ လက်မှတ်တစ်ခုစီတွင် ၎င်းနှင့်ဆက်စပ်သော သီးသန့်သော့တစ်ခုလည်း ပါရှိသည်။ ထို့ကြောင့် ကျွန်ုပ်တို့ကိုယ်တိုင် လက်မှတ်မထုတ်ပေးမီ ဤ "အရေးပေါ်" သော့အတွဲကို ထုတ်လုပ်ရန် လိုအပ်ပါသည်။ အရေးကြီးသောအချက်မှာ ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့တွင် ကိုယ်ပိုင်သော့ရှိသည့် သော့တွဲတွဲကို ညွှန်ပြပြီး လက်မှတ်ရေးထိုးထားသော လက်မှတ်ကို ဆာဗာသို့ ပြသရန်ဖြစ်သည်။

ဒါကြောင့် အများသူငှာသော့လဲလှယ်မှုဟာ ရှင်သန်ပြီး ကောင်းမွန်နေပါသေးတယ်။ ၎င်းသည် လက်မှတ်များနှင့်ပင် အလုပ်လုပ်သည်။ လက်မှတ်များသည် အများသူငှာသော့များကို သိမ်းဆည်းရန် ဆာဗာအတွက် လိုအပ်မှုကို ဖယ်ရှားပေးပါသည်။

ထို့နောက် လက်မှတ်ကို ကိုယ်တိုင်ဖန်တီးပါ။ ကျွန်ုပ်သည် 10 မိနစ်ကြားကာလတွင် ubuntu အသုံးပြုသူခွင့်ပြုချက်လိုအပ်ပါသည်။ ကိုယ့်နည်းနဲ့ကိုယ် လုပ်လို့ရတယ်။

$ ssh-keygen -s sk-user-ca -I test-key -n ubuntu -V -5m:+5m emergency

သင့်လက်ဗွေကို အသုံးပြု၍ လက်မှတ်ကို လက်မှတ်ထိုးခိုင်းပါမည်။ ဥပမာ -n ubuntu၊carl၊ec2-user ကော်မာများဖြင့် ခြားထားသော နောက်ထပ်အသုံးပြုသူအမည်များကို သင်ထည့်နိုင်သည်။

ဒါပဲ၊ အခု မင်းမှာ လက်မှတ်ရှိတယ်။ နောက်တစ်ခုကတော့ မှန်ကန်တဲ့ ခွင့်ပြုချက်တွေကို သတ်မှတ်ဖို့ လိုပါတယ်။

$ chmod 600 emergency-cert.pub

၎င်းပြီးနောက်၊ သင့်လက်မှတ်၏ အကြောင်းအရာများကို သင်ကြည့်ရှုနိုင်သည်-

$ step ssh inspect emergency-cert.pub

ဤအရာသည် ကျွန်ုပ်၏ပုံသဏ္ဌာန်ဖြစ်သည်။

emergency-cert.pub
        Type: [email protected] user certificate
        Public key: ECDSA-CERT SHA256:EJSfzfQv1UK44/LOKhBbuh5oRMqxXGBSr+UAzA7cork
        Signing CA: SK-ECDSA SHA256:kLJ7xfTTPQN0G/IF2cq5TB3EitaV4k3XczcBZcLPQ0E
        Key ID: "test-key"
        Serial: 0
        Valid: from 2020-06-24T16:53:03 to 2020-06-24T17:03:03
        Principals:
                ubuntu
        Critical Options: (none)
        Extensions:
                permit-X11-forwarding
                permit-agent-forwarding
                permit-port-forwarding
                permit-pty
                permit-user-rc

ဤနေရာတွင် အများသူငှာသော့သည် ကျွန်ုပ်တို့ဖန်တီးထားသော အရေးပေါ်သော့ဖြစ်ပြီး sk-user-ca သည် အသိအမှတ်ပြုအာဏာပိုင်နှင့် ဆက်စပ်နေသည်။

နောက်ဆုံးတွင် ကျွန်ုပ်တို့သည် SSH အမိန့်ကို လုပ်ဆောင်ရန် အဆင်သင့်ဖြစ်နေပါပြီ-

$ ssh -i emergency ubuntu@my-hostname
ubuntu@my-hostname:~$

1. သင်၏ လက်မှတ် အာဏာပိုင်ကို ယုံကြည်သည့် လက်ခံဆောင်ရွက်ပေးသည့် အသုံးပြုသူတိုင်းအတွက် လက်မှတ်များကို ယခု ဖန်တီးနိုင်ပါပြီ။
2. အရေးပေါ် ဖယ်ရှားနိုင်ပါသည်။ သင်သည် sk-user-ca ကို သိမ်းဆည်းနိုင်သော်လည်း ၎င်းသည် လုံခြုံရေးကီးပေါ်တွင်လည်း ရှိနေသောကြောင့် သင်မလိုအပ်ပါ။ အရေးပေါ်အသုံးပြုခွင့်အတွက် သင်အသုံးပြုပါက မူလ PEM အများသူငှာသော့ကို သင့်အိမ်ရှင်များမှ ဖယ်ရှားလိုနိုင်သည် (ဥပမာ ubuntu အသုံးပြုသူအတွက် ~/.ssh/authorized_keys တွင်) ၎င်းကို ဖယ်ရှားလိုနိုင်ပါသည်။

အရေးပေါ်အသုံးပြုခွင့်- လုပ်ဆောင်ချက်အစီအစဉ်

လုံခြုံရေးကီးကို ကူးထည့်ကာ အမိန့်ကို ဖွင့်ပါ။

$ ssh-add -K

၎င်းသည် လက်မှတ်အာဏာပိုင်၏ အများသူငှာသော့နှင့် သော့ဖော်ပြသူကို SSH အေးဂျင့်သို့ ပေါင်းထည့်မည်ဖြစ်သည်။

ယခု လက်မှတ်တစ်ခုပြုလုပ်ရန် အများသူငှာသော့ကို ထုတ်ယူပါ။

$ ssh-add -L | tail -1 > sk-user-ca.pub

ဥပမာအားဖြင့်၊ တစ်နာရီထက် မပိုသော သက်တမ်းကုန်ဆုံးရက်စွဲဖြင့် လက်မှတ်ကို ဖန်တီးပါ-

$ ssh-keygen -t ecdsa -f emergency
$ ssh-keygen -Us sk-user-ca.pub -I test-key -n [username] -V -5m:+60m emergency
$ chmod 600 emergency-cert.pub

ယခု ထပ်မံ၍ SSH

$ ssh -i emergency username@host

အကယ်၍ သင်၏ .ssh/config ဖိုင်သည် ချိတ်ဆက်ရာတွင် ပြဿနာအချို့ကို ဖြစ်စေပါက၊ ၎င်းကို ကျော်ဖြတ်ရန် -F none ရွေးချယ်မှုဖြင့် ssh ကို ဖွင့်နိုင်သည်။ လုပ်ဖော်ကိုင်ဖက်တစ်ဦးထံ အသိအမှတ်ပြုလက်မှတ် ပေးပို့ရန် လိုအပ်ပါက၊ အလွယ်ကူဆုံးနှင့် အလုံခြုံဆုံး ရွေးချယ်ခွင့်မှာ ဖြစ်သည်။ Magic Wormhole. ၎င်းကိုလုပ်ဆောင်ရန်၊ ကျွန်ုပ်တို့၏အခြေအနေတွင်၊ အရေးပေါ်နှင့် အရေးပေါ်-cert.pub ဖိုင်နှစ်ခုသာ လိုအပ်ပါသည်။

ဒီချဉ်းကပ်မှုနဲ့ပတ်သက်ပြီး ကျွန်တော်သဘောကျတာက Hardware Support ပါ။ သင့်လုံခြုံရေးသော့များကို လုံခြုံစွာထားနိုင်ပြီး ၎င်းတို့သည် မည်သည့်နေရာမှသွားမည်မဟုတ်ပါ။

ကြော်ငြာအဖြစ်

Epic ဆာဗာများ - က စျေးပေါသော VPS AMD မှ အားကောင်းသော ပရိုဆက်ဆာများဖြင့် CPU core ကြိမ်နှုန်း 3.4 GHz အထိ။ အမြင့်ဆုံးဖွဲ့စည်းပုံသည် သင့်အား မည်သည့်ပြဿနာမဆိုဖြေရှင်းနိုင်သည် - 128 CPU cores၊ 512 GB RAM၊ 4000 GB NVMe။ ကျွန်တော်တို့နဲ့အတူပါဝင်ပါ!

source: www.habr.com