پرو هوسٽر > بلاگ > انتظاميه > اسان هارڊويئر ڪنجين سان SSH ميزبانن تائين هنگامي رسائي لاءِ هڪ طريقيڪار پيش ڪريون ٿا

اسان هارڊويئر ڪنجين سان SSH ميزبانن تائين هنگامي رسائي لاءِ هڪ طريقيڪار پيش ڪريون ٿا

اسان هارڊويئر ڪنجين سان SSH ميزبانن تائين هنگامي رسائي لاءِ هڪ طريقيڪار پيش ڪريون ٿا

هن پوسٽ ۾، اسان هارڊويئر سيڪيورٽي ڪيز آف لائن استعمال ڪندي SSH ميزبانن تائين هنگامي رسائي لاءِ هڪ طريقيڪار ٺاهينداسين. اهو صرف هڪ طريقو آهي، ۽ توهان ان کي پنهنجي ضرورتن مطابق ترتيب ڏئي سگهو ٿا. اسان هارڊويئر سيڪيورٽي چيڪ تي اسان جي ميزبانن لاءِ SSH سرٽيفڪيٽ اٿارٽي کي ذخيرو ڪنداسين. هي اسڪيم لڳ ڀڳ ڪنهن به OpenSSH تي ڪم ڪندي، بشمول SSH سنگل سائن آن سان.

هي سڀ ڇا لاءِ آهي؟ خير، هي هڪ آخري رستو اختيار آهي. هي هڪ پوئين دروازو آهي جيڪو توهان کي توهان جي سرور تائين رسائي حاصل ڪرڻ جي اجازت ڏيندو جڏهن ڪجهه سببن لاء ٻيو ڪجهه ڪم نه ڪندو.

ايمرجنسي رسائي لاءِ پبلڪ/پرائيويٽ ڪنجي بدران سرٽيفڪيٽ ڇو استعمال ڪريو؟

  • عوامي ڪنجين جي برعڪس، سرٽيفڪيٽن کي تمام مختصر عمر ٿي سگھي ٿي. توهان هڪ سرٽيفڪيٽ ٺاهي سگهو ٿا جيڪو صحيح آهي 1 منٽ يا 5 سيڪنڊن لاءِ. هن عرصي کان پوء، سرٽيفڪيٽ نئين ڪنيڪشن لاء ناقابل استعمال ٿيندو. هي هنگامي رسائي لاء مثالي آهي.
  • توهان پنهنجي ميزبان تي ڪنهن به اڪائونٽ لاءِ هڪ سرٽيفڪيٽ ٺاهي سگهو ٿا ۽، جيڪڏهن ضروري هجي ته، ساٿين کي اهڙي ”هڪ ڀيري“ سرٽيفڪيٽ موڪلي سگهو ٿا.

توهان کي ڇا آهي

  • هارڊويئر سيڪيورٽي ڪنجيون جيڪي سپورٽ ڪن ٿيون رهائشي ڪنجيون.
    رهائشي چاٻيون cryptographic keys آهن جيڪي مڪمل طور تي حفاظتي ڪنجي اندر محفوظ ڪيون وينديون آهن. ڪڏهن ڪڏهن اهي هڪ الفانميرڪ PIN سان محفوظ آهن. رهائشي چاٻي جو عوامي حصو سيڪيورٽي ڪيئي مان برآمد ڪري سگھجي ٿو، اختياري طور تي پرائيويٽ ڪي هينڊل سان گڏ. مثال طور، يوبيڪي 5 سيريز يو ايس بي ڪيز رهواسي ڪنجين کي سپورٽ ڪن ٿيون. اهو مشورو ڏنو وڃي ٿو ته اهي صرف ميزبان تائين هنگامي رسائي لاءِ آهن. هن پوسٽ لاءِ مان صرف هڪ ڪنجي استعمال ڪندس، پر توهان وٽ هڪ اضافي هجڻ گهرجي بيڪ اپ لاءِ.
  • انهن ڪنجين کي محفوظ ڪرڻ لاءِ هڪ محفوظ جڳهه.
  • OpenSSH ورجن 8.2 يا ان کان وڌيڪ توهان جي مقامي ڪمپيوٽر تي ۽ انهن سرورن تي جيڪي توهان چاهيو ٿا ايمرجنسي رسائي حاصل ڪريو. Ubuntu 20.04 ٻيڙيون OpenSSH 8.2 سان.
  • (اختياري، پر سفارش ٿيل) سرٽيفڪيٽ چيڪ ڪرڻ لاءِ هڪ CLI اوزار.

جي تياري

پهرين، توهان کي هڪ سرٽيفڪيشن اٿارٽي ٺاهڻ جي ضرورت آهي جيڪا هارڊويئر سيڪيورٽي چيڪ تي واقع هوندي. چاٻي داخل ڪريو ۽ ھلايو:

$ ssh-keygen -t ecdsa-sk -f sk-user-ca -O resident -C [security key ID]

تبصرو جي طور تي (-سي) مون اشارو ڪيو [ايميل محفوظ ٿيل]تنهن ڪري توهان اهو نه وساريو ته هي سرٽيفڪيٽ اٿارٽي ڪهڙي سيڪيورٽي ڪيئي سان تعلق رکي ٿو.

يوبيڪي کي ڪي کي شامل ڪرڻ کان علاوه، ٻه فائلون مقامي طور تي ٺاهيا ويندا:

  1. sk-user-ca، هڪ اهم هينڊل جيڪو حوالو ڏئي ٿو پرائيويٽ ڪنجي کي محفوظ ڪيل سيڪيورٽي ڪي ۾،
  2. sk-user-ca.pub، جيڪو توهان جي سرٽيفڪيٽ اٿارٽي لاءِ عوامي ڪنجي هوندو.

پر پريشان نه ٿيو، يوبيڪي هڪ ٻي خانگي چاٻي رکي ٿو جيڪا ٻيهر حاصل نه ٿي ڪري سگھجي. تنهن ڪري، هتي هر شيء قابل اعتماد آهي.

هوسٽ تي، روٽ جي طور تي، شامل ڪريو (جيڪڏهن توهان اڳ ۾ ئي نه ڪيو آهي) توهان جي SSHD ترتيب (/etc/ssh/sshd_config):

TrustedUserCAKeys /etc/ssh/ca.pub

پوءِ ميزبان تي، عوامي ڪي (sk-user-ca.pub) کي شامل ڪريو /etc/ssh/ca.pub

ڊيمن کي ٻيهر شروع ڪريو:

# /etc/init.d/ssh restart

ھاڻي اسان ڪوشش ڪري سگھون ٿا ميزبان تائين رسائي حاصل ڪرڻ جي. پر پهرين اسان کي هڪ سند جي ضرورت آهي. هڪ اهم جوڙو ٺاهيو جيڪو سرٽيفڪيٽ سان لاڳاپيل هوندو:

$ ssh-keygen -t ecdsa -f emergency

سرٽيفڪيٽ ۽ SSH جوڙو
ڪڏهن ڪڏهن اهو هڪ سرٽيفڪيشن استعمال ڪرڻ جي لالچ ۾ آهي هڪ عوامي / خانگي چاٻي جوڙو جي متبادل جي طور تي. پر هڪ سرٽيفڪيٽ اڪيلو صارف جي تصديق ڪرڻ لاء ڪافي ناهي. هر سرٽيفڪيٽ سان لاڳاپيل هڪ خانگي ڪنجي پڻ آهي. اهو ئي سبب آهي ته اسان کي پاڻ کي سرٽيفڪيٽ جاري ڪرڻ کان پهريان هي "هنگامي" اهم جوڙو ٺاهڻ جي ضرورت آهي. اهم ڳالهه اها آهي ته اسان سرور ڏانهن دستخط ٿيل سرٽيفڪيٽ ڏيکاريون ٿا، اهو ظاهر ڪري ٿو ته اهم جوڙو جنهن لاءِ اسان وٽ هڪ خانگي چيڪ آهي.

تنهنڪري عوامي اهم مٽاسٽا اڃا تائين زنده ۽ سٺو آهي. اهو پڻ ڪم ڪري ٿو سرٽيفڪيٽ سان. سرٽيفڪيٽ صرف سرور جي ضرورت کي ختم ڪري ٿو عوامي چابيون کي ذخيرو ڪرڻ لاء.

اڳيون، سرٽيفڪيٽ پاڻ ٺاهيو. مون کي 10 منٽ جي وقفي ۾ ubuntu صارف جي اجازت جي ضرورت آهي. توھان ان کي پنھنجي طريقي سان ڪري سگھو ٿا.

$ ssh-keygen -s sk-user-ca -I test-key -n ubuntu -V -5m:+5m emergency

توهان کي چيو ويندو ته توهان جي فنگر پرنٽ استعمال ڪندي سرٽيفڪيٽ تي دستخط ڪريو. توھان شامل ڪري سگھوٿا اضافي استعمال ڪندڙ نالا جيڪي ڪاما سان الڳ ڪيا ويا آھن، مثال طور -n ubuntu,carl,ec2-user

اھو اھو آھي، ھاڻي توھان وٽ ھڪڙو سرٽيفڪيٽ آھي! اڳيون توهان کي درست اجازتون بيان ڪرڻ جي ضرورت آهي:

$ chmod 600 emergency-cert.pub

هن کان پوء، توهان پنهنجي سرٽيفڪيٽ جي مواد کي ڏسي سگهو ٿا:

$ step ssh inspect emergency-cert.pub

هي اهو آهي جيڪو منهنجو نظر اچي ٿو:

emergency-cert.pub
        Type: [email protected] user certificate
        Public key: ECDSA-CERT SHA256:EJSfzfQv1UK44/LOKhBbuh5oRMqxXGBSr+UAzA7cork
        Signing CA: SK-ECDSA SHA256:kLJ7xfTTPQN0G/IF2cq5TB3EitaV4k3XczcBZcLPQ0E
        Key ID: "test-key"
        Serial: 0
        Valid: from 2020-06-24T16:53:03 to 2020-06-24T17:03:03
        Principals:
                ubuntu
        Critical Options: (none)
        Extensions:
                permit-X11-forwarding
                permit-agent-forwarding
                permit-port-forwarding
                permit-pty
                permit-user-rc

هتي عوامي ڪيئي ايمرجنسي چيڪ آهي جيڪا اسان ٺاهي آهي، ۽ sk-user-ca سرٽيفڪيشن اٿارٽي سان لاڳاپيل آهي.

آخرڪار اسان SSH حڪم هلائڻ لاء تيار آهيون:


$ ssh -i emergency ubuntu@my-hostname
ubuntu@my-hostname:~$

  1. توھان ھاڻي ٺاھي سگھوٿا سرٽيفڪيٽ ڪنھن به صارف لاءِ ميزبان تي جيڪو توھان جي سرٽيفڪيٽ اٿارٽي تي ڀروسو ڪري ٿو.
  2. توهان هنگامي کي ختم ڪري سگهو ٿا. توهان محفوظ ڪري سگهو ٿا sk-user-ca، پر توهان کي ضرورت نه آهي ڇو ته اهو پڻ سيڪيورٽي چيڪ تي آهي. توهان شايد پنهنجي ميزبانن مان اصل PEM عوامي ڪيئي کي هٽائڻ چاهيندا (مثال طور ubuntu صارف لاءِ ~/.ssh/authorized_keys) جيڪڏهن توهان ان کي هنگامي رسائي لاءِ استعمال ڪيو.

ايمرجنسي رسائي: ايڪشن پلان

سيڪيورٽي چيڪ کي پيسٽ ڪريو ۽ حڪم جاري ڪريو:

$ ssh-add -K

اهو سرٽيفڪيشن اٿارٽي جي عوامي ڪيئي ۽ اهم بيان ڪندڙ کي SSH ايجنٽ ۾ شامل ڪندو.

هاڻي هڪ سرٽيفڪيٽ ٺاهڻ لاء عوامي ڪيئي برآمد ڪريو:

$ ssh-add -L | tail -1 > sk-user-ca.pub

ختم ٿيڻ جي تاريخ سان هڪ سرٽيفڪيٽ ٺاهيو، مثال طور، هڪ ڪلاڪ کان وڌيڪ نه:

$ ssh-keygen -t ecdsa -f emergency
$ ssh-keygen -Us sk-user-ca.pub -I test-key -n [username] -V -5m:+60m emergency
$ chmod 600 emergency-cert.pub

۽ هاڻي SSH ٻيهر:

$ ssh -i emergency username@host

جيڪڏهن توهان جي .ssh/config فائل ڳنڍڻ وقت ڪجهه مسئلا پيدا ڪري ٿي، ته توهان ان کي نظرانداز ڪرڻ لاءِ -F none آپشن سان ssh هلائي سگهو ٿا. جيڪڏهن توهان کي ڪنهن ساٿي کي سرٽيفڪيٽ موڪلڻ جي ضرورت آهي، اهو آسان ۽ محفوظ اختيار آهي جادوءَ جو ٿلهو. هن کي ڪرڻ لاء، توهان کي صرف ٻن فائلن جي ضرورت آهي - اسان جي صورت ۾، هنگامي ۽ ايمرجنسي-cert.pub.

مون کي هن طريقي جي باري ۾ ڇا پسند آهي هارڊويئر سپورٽ. توھان پنھنجي حفاظتي ڪنجين کي محفوظ ۾ رکي سگھو ٿا ۽ اھي ڪٿي به نه ويندا.

اشتهارن جي حقن تي

ايپيڪ سرورز - هي آهي سستو VPS AMD کان طاقتور پروسيسرز سان، سي پي يو ڪور فريکوئنسي 3.4 GHz تائين. وڌ ۾ وڌ تشڪيل توهان کي تقريبا ڪنهن به مسئلي کي حل ڪرڻ جي اجازت ڏئي ٿي - 128 سي پي يو ڪور، 512 GB ريم، 4000 GB NVMe. اسان سان شامل ٿيو!

اسان هارڊويئر ڪنجين سان SSH ميزبانن تائين هنگامي رسائي لاءِ هڪ طريقيڪار پيش ڪريون ٿا

جو ذريعو: www.habr.com

تبصرو شامل ڪريو