Ka poso ena, re tla nts'etsapele ts'ebetso ea phihlello ea tšohanyetso ho mabotho a SSH re sebelisa linotlolo tsa ts'ireletso ea Hardware ntle le marang-rang. Ena ke mokhoa o le mong feela, 'me u ka o fetola hore o lumellane le litlhoko tsa hau. Re tla boloka matla a setifikeiti sa SSH bakeng sa baamoheli ba rona ho konopo ea ts'ireletso ea hardware. Morero ona o tla sebetsa hoo e batlang e le ho OpenSSH efe kapa efe, ho kenyeletsoa SSH e nang le ho saena ha 'ngoe.
Sena sohle ke sa eng? Che, ena ke khetho ea ho qetela. Ena ke mokokotlo o tla u lumella ho fihlella seva sa hau ha ka mabaka a mang ho se letho le leng le sebetsang.
Hobaneng o sebelisa litifikeiti sebakeng sa linotlolo tsa sechaba/tsa poraefete bakeng sa phihlello ea tšohanyetso?
- Ho fapana le linotlolo tsa sechaba, litifikeiti li ka ba le nako e khuts'oane haholo ea bophelo. O ka hlahisa setifikeiti se sebetsang bakeng sa motsotso o le 1 kapa esita le metsotsoana e 5. Kamora nako ena, setifikeiti se tla fetoha se sa sebelisoeng bakeng sa likhokahano tse ncha. Sena se loketse bakeng sa phihlello ea tšohanyetso.
- U ka etsa setifikeiti bakeng sa akhaonto leha e le efe ho batho ba u amohelang, 'me, ha ho hlokahala, u romelle mangolo a joalo a "nako e le' ngoe" ho basebetsi-'moho.
U hloka eng
- Linotlolo tsa ts'ireletso tsa Hardware tse tšehetsang linotlolo tsa moahi.
Linotlolo tsa moahi ke linotlolo tsa cryptographic tse bolokiloeng ka har'a senotlolo sa ts'ireletso. Ka linako tse ling li sirelelitsoe ke PIN ea alphanumeric. Karolo ea sechaba ea senotlolo sa moahi e ka romelloa ho tsoa ho senotlolo sa ts'ireletso, ka boikhethelo hammoho le senotlolo sa lekunutu. Ka mohlala, likonopo tsa Yubikey 5 series tsa USB li tšehetsa linotlolo tsa moahi. Bakeng sa poso ena ke tla sebelisa senotlolo se le seng feela, empa u lokela ho ba le e 'ngoe bakeng sa bekapo. - Sebaka se sireletsehileng sa ho boloka linotlolo tseo.
- Mofuta oa 8.2 oa OpenSSH kapa oa hodimo ho komporo ea hau ea lehae le ho li-server tseo u batlang ho fihlella ho tsona ka tšohanyetso. Botho 20.04 likepe tse nang le OpenSSH 8.2.
- (ea boikhethelo, empa e khothalelitsoe) Sesebelisoa sa CLI sa ho lekola litifikeiti.
Ho lokisetsa
Taba ea pele, o hloka ho theha bolaoli ba setifikeiti bo tla beng bo le holim'a senotlolo sa ts'ireletso ea Hardware. Kenya senotlolo ebe o matha:
$ ssh-keygen -t ecdsa-sk -f sk-user-ca -O resident -C [security key ID]
E le tlhaloso (-C) ke bontšitse [imeile e sirelelitsoe]hore o seke oa lebala hore na matla a setifikeiti sena ke a mang.
Ntle le ho kenyelletsa senotlolo ho Yubikey, lifaele tse peli li tla hlahisoa sebakeng sa heno:
- sk-user-ca, senotlolo sa senotlolo se bolelang senotlolo sa lekunutu se bolokiloeng ka senotlolo sa ts'ireletso,
- sk-user-ca.pub, e tla ba senotlolo sa sechaba bakeng sa bolaoli ba setifikeiti sa hau.
Empa o seke oa tšoenyeha, Yubikey e boloka senotlolo se seng sa lekunutu se ke keng sa khutlisoa. Ka hona, ntho e 'ngoe le e' ngoe e ka tšeptjoa mona.
Ho mabotho, joalo ka motso, eketsa (haeba ha u so etse) tse latelang ho tlhophiso ea hau ea SSHD (/etc/ssh/sshd_config):
TrustedUserCAKeys /etc/ssh/ca.pub
Ebe ho moamoheli, kenya senotlolo sa sechaba (sk-user-ca.pub) ho /etc/ssh/ca.pub
Qala daemon hape:
# /etc/init.d/ssh restart
Joale re ka leka ho fumana moamoheli. Empa pele re hloka setifikeiti. Theha lihlopha tsa bohlokoa tse tla amahanngoa le setifikeiti:
$ ssh-keygen -t ecdsa -f emergency
Setifikeiti le lipara tsa SSH
Ka nako e 'ngoe ho hohela ho sebelisa setifikeiti e le sebaka sa senotlolo sa sechaba / sa poraefete. Empa setifikeiti feela ha sea lekana ho netefatsa mosebelisi. Setifikeiti se seng le se seng se na le senotlolo sa lekunutu se amanang le sona. Ke ka lebaka lena re hlokang ho hlahisa para ena ea bohlokoa ea "tsietsi" pele re fana ka setifikeiti. Ntho ea bohlokoa ke hore re bonts'a setifikeiti se saenneng ho seva, se bonts'a li-key pair tseo re nang le senotlolo sa lekunutu.Kahoo phapanyetsano ea linotlolo tsa sechaba e ntse e phela ebile e phetse hantle. Sena se sebetsa le ka litifikeiti. Li-Certificate li tlosa feela tlhoko ea hore seva se boloke linotlolo tsa sechaba.
E latelang, theha setifikeiti ka bosona. Ke hloka tumello ea mosebelisi oa ubuntu ka nako ea metsotso e 10. U ka e etsa ka tsela ea hau.
$ ssh-keygen -s sk-user-ca -I test-key -n ubuntu -V -5m:+5m emergency
O tla kopuwa ho saena setifikeiti o sebedisa monwana wa hao. O ka eketsa mabitso a basebelisi a arohanngoa ke lifeheloane, mohlala -n ubuntu,carl,ec2-user.
Ke eona, joale u na le setifikeiti! Ka mor'a moo o hloka ho hlakisa litumello tse nepahetseng:
$ chmod 600 emergency-cert.pub
Ka mor'a sena, o ka sheba litaba tsa setifikeiti sa hau:
$ step ssh inspect emergency-cert.pub
Sena ke tsela eo ka eona e shebahalang ka eona:
emergency-cert.pub
Type: [email protected] user certificate
Public key: ECDSA-CERT SHA256:EJSfzfQv1UK44/LOKhBbuh5oRMqxXGBSr+UAzA7cork
Signing CA: SK-ECDSA SHA256:kLJ7xfTTPQN0G/IF2cq5TB3EitaV4k3XczcBZcLPQ0E
Key ID: "test-key"
Serial: 0
Valid: from 2020-06-24T16:53:03 to 2020-06-24T17:03:03
Principals:
ubuntu
Critical Options: (none)
Extensions:
permit-X11-forwarding
permit-agent-forwarding
permit-port-forwarding
permit-pty
permit-user-rc
Mona senotlolo sa sechaba ke senotlolo sa tšohanyetso seo re se entseng, 'me sk-user-ca e amahanngoa le bolaoli ba setifikeiti.
Qetellong re ikemiselitse ho tsamaisa taelo ea SSH:
$ ssh -i emergency ubuntu@my-hostname
ubuntu@my-hostname:~$
- Joale o ka etsa litifikeiti bakeng sa mosebelisi ofe kapa ofe ho moamoheli ea tšepang bolaoli ba setifikeiti sa hau.
- O ka tlosa tshohanyetso. U ka boloka sk-user-ca, empa ha ho hlokahale hore u e boloke kaha e boetse e le senotlolo sa tšireletso. U kanna ua batla ho tlosa senotlolo sa mantlha sa sechaba sa PEM ho batho ba u amohelang (mohlala ho ~/.ssh/authorized_keys bakeng sa mosebelisi oa ubuntu) haeba u se sebelisitse bakeng sa phihlello ea tšohanyetso.
Phihlello ea Tšohanyetso: Leano la Ts'ebetso
Beha konopo ea ts'ireletso 'me u tsamaise taelo:
$ ssh-add -K
Sena se tla eketsa senotlolo sa sechaba sa bolaoli ba setifikeiti le tlhaloso ea senotlolo ho moemeli oa SSH.
Joale romella senotlolo sa sechaba ho etsa setifikeiti:
$ ssh-add -L | tail -1 > sk-user-ca.pub
Theha setifikeiti se nang le letsatsi la ho felloa ke nako, mohlala, le sa feteng hora:
$ ssh-keygen -t ecdsa -f emergency
$ ssh-keygen -Us sk-user-ca.pub -I test-key -n [username] -V -5m:+60m emergency
$ chmod 600 emergency-cert.pub
'Me joale SSH hape:
$ ssh -i emergency username@host
Haeba faele ea hau ea .ssh/config e baka mathata a itseng ha o hokela, o ka matha ssh ka khetho ea -F none ho e tlola. Haeba o hloka ho romella setifikeiti ho mosebetsi-'moho, khetho e bonolo le e sireletsehileng ka ho fetisisa ke
Seo ke se ratang ka mokhoa ona ke tšehetso ea hardware. U ka kenya linotlolo tsa hau sebakeng se sireletsehileng 'me li ke ke tsa ea kae kapa kae.
E le papatso
Li-server tsa Epic - sena ke
Source: www.habr.com