हामी हार्डवेयर कुञ्जीहरूको साथ SSH होस्टहरूमा आपतकालीन पहुँचको लागि एक प्रक्रिया निर्धारित गर्छौं

यस पोष्टमा, हामी हार्डवेयर सुरक्षा कुञ्जीहरू अफलाइन प्रयोग गरेर SSH होस्टहरूमा आपतकालीन पहुँचको लागि प्रक्रिया विकास गर्नेछौं। यो केवल एक दृष्टिकोण हो, र तपाइँ यसलाई तपाइँको आवश्यकताहरु अनुरूप गर्न सक्नुहुन्छ। हामी हार्डवेयर सुरक्षा कुञ्जीमा हाम्रा होस्टहरूको लागि SSH प्रमाणपत्र प्राधिकरण भण्डार गर्नेछौं। यो योजनाले एकल साइन-अन भएको SSH सहित लगभग कुनै पनि OpenSSH मा काम गर्नेछ।

यो सब के को लागी हो? खैर, यो एक अन्तिम रिसोर्ट विकल्प हो। यो एक ब्याकडोर हो जसले तपाइँलाई तपाइँको सर्भरमा पहुँच प्राप्त गर्न अनुमति दिनेछ जब कुनै कारणले अरू केहि काम गर्दैन।

आपातकालीन पहुँचको लागि सार्वजनिक/निजी कुञ्जीहरूको सट्टा प्रमाणपत्रहरू किन प्रयोग गर्ने?

• सार्वजनिक कुञ्जीहरूको विपरीत, प्रमाणपत्रहरूको धेरै छोटो आयु हुन सक्छ। तपाईंले प्रमाणपत्र उत्पन्न गर्न सक्नुहुन्छ जुन 1 मिनेट वा 5 सेकेन्डको लागि मान्य छ। यस अवधि पछि, प्रमाणपत्र नयाँ जडानहरूको लागि अनुपयोगी हुनेछ। यो आपतकालीन पहुँचको लागि आदर्श हो।
• तपाईं आफ्नो होस्टहरूमा कुनै पनि खाताको लागि प्रमाणपत्र सिर्जना गर्न सक्नुहुन्छ र आवश्यक भएमा, सहकर्मीहरूलाई त्यस्ता "एक-पटक" प्रमाणपत्रहरू पठाउन सक्नुहुन्छ।

तपाईंलाई के चाहिन्छ?

• निवासी कुञ्जीहरूलाई समर्थन गर्ने हार्डवेयर सुरक्षा साँचोहरू।
  निवासी कुञ्जीहरू क्रिप्टोग्राफिक कुञ्जीहरू हुन् जुन पूर्ण रूपमा सुरक्षा कुञ्जी भित्र भण्डारण गरिन्छ। कहिलेकाहीँ तिनीहरू अल्फान्यूमेरिक PIN द्वारा सुरक्षित हुन्छन्। निवासी साँचोको सार्वजनिक भाग सुरक्षा साँचोबाट निर्यात गर्न सकिन्छ, वैकल्पिक रूपमा निजी कुञ्जी ह्यान्डलको साथ। उदाहरणका लागि, Yubikey 5 श्रृंखला USB कुञ्जीहरूले निवासी कुञ्जीहरूलाई समर्थन गर्दछ। यो सल्लाह दिइन्छ कि तिनीहरू होस्टमा आपतकालीन पहुँचको लागि मात्र हुन्। यस पोस्टको लागि म एउटा कुञ्जी मात्र प्रयोग गर्नेछु, तर तपाईंसँग ब्याकअपको लागि थप एउटा हुनुपर्छ।
• ती कुञ्जीहरू भण्डारण गर्न सुरक्षित ठाउँ।
• OpenSSH संस्करण 8.2 वा माथिको तपाईंको स्थानीय कम्प्युटर र सर्भरहरूमा तपाईंले आपतकालीन पहुँच गर्न चाहनुहुन्छ। Ubuntu 20.04 ओपनएसएसएच 8.2 को साथ जहाज।
• (वैकल्पिक, तर सिफारिस गरिएको) प्रमाणपत्रहरू जाँच गर्नको लागि CLI उपकरण।

प्रशिक्षण

पहिले, तपाईंले हार्डवेयर सुरक्षा कुञ्जीमा अवस्थित प्रमाणीकरण प्राधिकरण सिर्जना गर्न आवश्यक छ। कुञ्जी घुसाउनुहोस् र चलाउनुहोस्:

$ ssh-keygen -t ecdsa-sk -f sk-user-ca -O resident -C [security key ID]

टिप्पणीको रूपमा (-C) मैले संकेत गरें [ईमेल सुरक्षित]त्यसैले तपाईंले यो प्रमाणपत्र प्राधिकरणसँग सम्बन्धित सुरक्षा कुञ्जीलाई बिर्सनु हुन्न।

Yubikey मा कुञ्जी थप्नुको अतिरिक्त, दुई फाइलहरू स्थानीय रूपमा उत्पन्न हुनेछन्:

1. sk-user-ca, एउटा कुञ्जी ह्यान्डल जसले सुरक्षा साँचोमा भण्डारण गरिएको निजी कुञ्जीलाई जनाउँछ,
2. sk-user-ca.pub, जुन तपाईंको प्रमाणपत्र प्राधिकरणको लागि सार्वजनिक कुञ्जी हुनेछ।

तर चिन्ता नगर्नुहोस्, Yubikey ले अर्को निजी कुञ्जी भण्डार गर्दछ जुन पुन: प्राप्त गर्न सकिँदैन। त्यसैले यहाँ सबै कुरा भरपर्दो छ।

होस्टहरूमा, रूटको रूपमा, तपाइँको SSHD कन्फिगरेसन (/etc/ssh/sshd_config) मा निम्न थप्नुहोस् (यदि तपाइँसँग पहिले नै छैन भने):

TrustedUserCAKeys /etc/ssh/ca.pub

त्यसपछि होस्टमा, सार्वजनिक कुञ्जी (sk-user-ca.pub) थप्नुहोस् /etc/ssh/ca.pub

डेमन पुन: सुरु गर्नुहोस्:

# /etc/init.d/ssh restart

अब हामी होस्ट पहुँच गर्न प्रयास गर्न सक्नुहुन्छ। तर पहिले हामीलाई प्रमाणपत्र चाहिन्छ। प्रमाणपत्रसँग सम्बन्धित कुञ्जी जोडा बनाउनुहोस्:

$ ssh-keygen -t ecdsa -f emergency

प्रमाणपत्र र SSH जोडीहरू
कहिलेकाहीँ सार्वजनिक/निजी कुञ्जी जोडीको लागि प्रतिस्थापनको रूपमा प्रमाणपत्र प्रयोग गर्न प्रलोभन हुन्छ। तर एक प्रमाणपत्र मात्र प्रयोगकर्ता प्रमाणीकरण गर्न पर्याप्त छैन। प्रत्येक प्रमाणपत्रसँग सम्बन्धित निजी कुञ्जी पनि हुन्छ। यसैले हामीले आफैलाई प्रमाणपत्र जारी गर्नु अघि यो "आपतकालीन" कुञ्जी जोडी उत्पन्न गर्न आवश्यक छ। महत्त्वपूर्ण कुरा यो हो कि हामीले सर्भरमा हस्ताक्षरित प्रमाणपत्र देखाउछौं, कुञ्जी जोडीलाई संकेत गर्दै जसको लागि हामीसँग निजी कुञ्जी छ।

त्यसैले सार्वजनिक कुञ्जी विनिमय अझै जीवित र राम्रो छ। यो प्रमाणपत्र संग पनि काम गर्दछ। प्रमाणपत्रहरूले मात्र सार्वजनिक कुञ्जीहरू भण्डारण गर्न सर्भरको आवश्यकतालाई हटाउँछ।

अर्को, प्रमाणपत्र आफै सिर्जना गर्नुहोस्। मलाई 10 मिनेट अन्तरालमा ubuntu प्रयोगकर्ता प्राधिकरण चाहिन्छ। तपाईं यसलाई आफ्नो तरिकाले गर्न सक्नुहुन्छ।

$ ssh-keygen -s sk-user-ca -I test-key -n ubuntu -V -5m:+5m emergency

तपाइँलाई तपाइँको औंठाछाप प्रयोग गरी प्रमाणपत्रमा हस्ताक्षर गर्न सोधिनेछ। तपाईंले अल्पविरामद्वारा छुट्याइएको अतिरिक्त प्रयोगकर्ता नामहरू थप्न सक्नुहुन्छ, उदाहरणका लागि -n ubuntu,carl,ec2-user

त्यो हो, अब तपाईंसँग प्रमाणपत्र छ! अर्को तपाईंले सही अनुमतिहरू निर्दिष्ट गर्न आवश्यक छ:

$ chmod 600 emergency-cert.pub

यस पछि, तपाइँ तपाइँको प्रमाणपत्र को सामग्री हेर्न सक्नुहुन्छ:

$ step ssh inspect emergency-cert.pub

यो मेरो जस्तो देखिन्छ:

emergency-cert.pub
        Type: [email protected] user certificate
        Public key: ECDSA-CERT SHA256:EJSfzfQv1UK44/LOKhBbuh5oRMqxXGBSr+UAzA7cork
        Signing CA: SK-ECDSA SHA256:kLJ7xfTTPQN0G/IF2cq5TB3EitaV4k3XczcBZcLPQ0E
        Key ID: "test-key"
        Serial: 0
        Valid: from 2020-06-24T16:53:03 to 2020-06-24T17:03:03
        Principals:
                ubuntu
        Critical Options: (none)
        Extensions:
                permit-X11-forwarding
                permit-agent-forwarding
                permit-port-forwarding
                permit-pty
                permit-user-rc

यहाँ सार्वजनिक कुञ्जी हामीले सिर्जना गरेको आपतकालीन कुञ्जी हो, र sk-user-ca प्रमाणीकरण प्राधिकरणसँग सम्बन्धित छ।

अन्तमा हामी SSH आदेश चलाउन तयार छौं:

$ ssh -i emergency ubuntu@my-hostname
ubuntu@my-hostname:~$

1. तपाइँ अब तपाइँको प्रमाणपत्र प्राधिकरणलाई विश्वास गर्ने होस्टमा कुनै पनि प्रयोगकर्ताको लागि प्रमाणपत्रहरू सिर्जना गर्न सक्नुहुन्छ।
2. तपाईं आपातकालीन हटाउन सक्नुहुन्छ। तपाईंले sk-user-ca बचत गर्न सक्नुहुन्छ, तर यो सुरक्षा साँचोमा भएकोले तपाईंलाई आवश्यक पर्दैन। तपाईंले आफ्नो होस्टबाट मूल PEM सार्वजनिक कुञ्जी हटाउन पनि चाहनुहुन्छ (उदाहरणका लागि ubuntu प्रयोगकर्ताका लागि ~/.ssh/authorized_keys मा) यदि तपाईंले यसलाई आपतकालीन पहुँचको लागि प्रयोग गर्नुभयो भने।

आपतकालीन पहुँच: कार्य योजना

सुरक्षा कुञ्जी टाँस्नुहोस् र आदेश चलाउनुहोस्:

$ ssh-add -K

यसले SSH एजेन्टमा प्रमाणपत्र प्राधिकरणको सार्वजनिक कुञ्जी र कुञ्जी वर्णनकर्ता थप्नेछ।

अब प्रमाणपत्र बनाउन सार्वजनिक कुञ्जी निर्यात गर्नुहोस्:

$ ssh-add -L | tail -1 > sk-user-ca.pub

उदाहरणका लागि, एक घण्टा भन्दा बढीको म्याद सकिने मिति भएको प्रमाणपत्र सिर्जना गर्नुहोस्:

$ ssh-keygen -t ecdsa -f emergency
$ ssh-keygen -Us sk-user-ca.pub -I test-key -n [username] -V -5m:+60m emergency
$ chmod 600 emergency-cert.pub

र अब SSH फेरि:

$ ssh -i emergency username@host

यदि तपाइँको .ssh/config फाइल जडान गर्दा केहि समस्याहरू उत्पन्न गर्दैछ भने, तपाइँ यसलाई बाइपास गर्न -F none विकल्पको साथ ssh चलाउन सक्नुहुन्छ। यदि तपाइँ एक सहकर्मीलाई प्रमाणपत्र पठाउन आवश्यक छ भने, सबैभन्दा सजिलो र सबैभन्दा सुरक्षित विकल्प हो जादुई वर्महोल। यो गर्नको लागि, तपाईंलाई केवल दुई फाइलहरू चाहिन्छ - हाम्रो अवस्थामा, आपातकालीन र आपातकालीन-cert.pub।

मलाई यो दृष्टिकोणको बारेमा मनपर्ने कुरा हार्डवेयर समर्थन हो। तपाईं आफ्नो सुरक्षा साँचोहरू सुरक्षितमा राख्न सक्नुहुन्छ र तिनीहरू कहिँ पनि जाने छैनन्।

विज्ञापनको अधिकारमा

एपिक सर्भरहरू हो सस्तो VPS AMD बाट शक्तिशाली प्रोसेसर, CPU कोर फ्रिक्वेन्सी 3.4 GHz सम्म। अधिकतम कन्फिगरेसनले तपाईंलाई लगभग कुनै पनि समस्या समाधान गर्न अनुमति दिन्छ - 128 CPU कोर, 512 GB RAM, 4000 GB NVMe। हामीसँग सामेल हुनुहोस्!

स्रोत: www.habr.com