ProHoster > Blog > Tsamaiso > Re fana ka mokhoa oa ho fihlella maemo a tšohanyetso ho mabotho a SSH ka linotlolo tsa hardware

Re fana ka mokhoa oa ho fihlella maemo a tšohanyetso ho mabotho a SSH ka linotlolo tsa hardware

Re fana ka mokhoa oa ho fihlella maemo a tšohanyetso ho mabotho a SSH ka linotlolo tsa hardware

Ka poso ena, re tla nts'etsapele ts'ebetso ea phihlello ea tšohanyetso ho mabotho a SSH re sebelisa linotlolo tsa ts'ireletso ea Hardware ntle le marang-rang. Ena ke mokhoa o le mong feela, 'me u ka o fetola hore o lumellane le litlhoko tsa hau. Re tla boloka matla a setifikeiti sa SSH bakeng sa baamoheli ba rona ho konopo ea ts'ireletso ea hardware. Morero ona o tla sebetsa hoo e batlang e le ho OpenSSH efe kapa efe, ho kenyeletsoa SSH e nang le ho saena ha 'ngoe.

Sena sohle ke sa eng? Che, ena ke khetho ea ho qetela. Ena ke mokokotlo o tla u lumella ho fihlella seva sa hau ha ka mabaka a mang ho se letho le leng le sebetsang.

Hobaneng o sebelisa litifikeiti sebakeng sa linotlolo tsa sechaba/tsa poraefete bakeng sa phihlello ea tšohanyetso?

  • Ho fapana le linotlolo tsa sechaba, litifikeiti li ka ba le nako e khuts'oane haholo ea bophelo. O ka hlahisa setifikeiti se sebetsang bakeng sa motsotso o le 1 kapa esita le metsotsoana e 5. Kamora nako ena, setifikeiti se tla fetoha se sa sebelisoeng bakeng sa likhokahano tse ncha. Sena se loketse bakeng sa phihlello ea tšohanyetso.
  • U ka etsa setifikeiti bakeng sa akhaonto leha e le efe ho batho ba u amohelang, 'me, ha ho hlokahala, u romelle mangolo a joalo a "nako e le' ngoe" ho basebetsi-'moho.

U hloka eng

  • Linotlolo tsa ts'ireletso tsa Hardware tse tšehetsang linotlolo tsa moahi.
    Linotlolo tsa moahi ke linotlolo tsa cryptographic tse bolokiloeng ka har'a senotlolo sa ts'ireletso. Ka linako tse ling li sirelelitsoe ke PIN ea alphanumeric. Karolo ea sechaba ea senotlolo sa moahi e ka romelloa ho tsoa ho senotlolo sa ts'ireletso, ka boikhethelo hammoho le senotlolo sa lekunutu. Ka mohlala, likonopo tsa Yubikey 5 series tsa USB li tšehetsa linotlolo tsa moahi. Bakeng sa poso ena ke tla sebelisa senotlolo se le seng feela, empa u lokela ho ba le e 'ngoe bakeng sa bekapo.
  • Sebaka se sireletsehileng sa ho boloka linotlolo tseo.
  • Mofuta oa 8.2 oa OpenSSH kapa oa hodimo ho komporo ea hau ea lehae le ho li-server tseo u batlang ho fihlella ho tsona ka tšohanyetso. Botho 20.04 likepe tse nang le OpenSSH 8.2.
  • (ea boikhethelo, empa e khothalelitsoe) Sesebelisoa sa CLI sa ho lekola litifikeiti.

Ho lokisetsa

Taba ea pele, o hloka ho theha bolaoli ba setifikeiti bo tla beng bo le holim'a senotlolo sa ts'ireletso ea Hardware. Kenya senotlolo ebe o matha:

$ ssh-keygen -t ecdsa-sk -f sk-user-ca -O resident -C [security key ID]

E le tlhaloso (-C) ke bontšitse [imeile e sirelelitsoe]hore o seke oa lebala hore na matla a setifikeiti sena ke a mang.

Ntle le ho kenyelletsa senotlolo ho Yubikey, lifaele tse peli li tla hlahisoa sebakeng sa heno:

  1. sk-user-ca, senotlolo sa senotlolo se bolelang senotlolo sa lekunutu se bolokiloeng ka senotlolo sa ts'ireletso,
  2. sk-user-ca.pub, e tla ba senotlolo sa sechaba bakeng sa bolaoli ba setifikeiti sa hau.

Empa o seke oa tšoenyeha, Yubikey e boloka senotlolo se seng sa lekunutu se ke keng sa khutlisoa. Ka hona, ntho e 'ngoe le e' ngoe e ka tšeptjoa mona.

Ho mabotho, joalo ka motso, eketsa (haeba ha u so etse) tse latelang ho tlhophiso ea hau ea SSHD (/etc/ssh/sshd_config):

TrustedUserCAKeys /etc/ssh/ca.pub

Ebe ho moamoheli, kenya senotlolo sa sechaba (sk-user-ca.pub) ho /etc/ssh/ca.pub

Qala daemon hape:

# /etc/init.d/ssh restart

Joale re ka leka ho fumana moamoheli. Empa pele re hloka setifikeiti. Theha lihlopha tsa bohlokoa tse tla amahanngoa le setifikeiti:

$ ssh-keygen -t ecdsa -f emergency

Setifikeiti le lipara tsa SSH
Ka nako e 'ngoe ho hohela ho sebelisa setifikeiti e le sebaka sa senotlolo sa sechaba / sa poraefete. Empa setifikeiti feela ha sea lekana ho netefatsa mosebelisi. Setifikeiti se seng le se seng se na le senotlolo sa lekunutu se amanang le sona. Ke ka lebaka lena re hlokang ho hlahisa para ena ea bohlokoa ea "tsietsi" pele re fana ka setifikeiti. Ntho ea bohlokoa ke hore re bonts'a setifikeiti se saenneng ho seva, se bonts'a li-key pair tseo re nang le senotlolo sa lekunutu.

Kahoo phapanyetsano ea linotlolo tsa sechaba e ntse e phela ebile e phetse hantle. Sena se sebetsa le ka litifikeiti. Li-Certificate li tlosa feela tlhoko ea hore seva se boloke linotlolo tsa sechaba.

E latelang, theha setifikeiti ka bosona. Ke hloka tumello ea mosebelisi oa ubuntu ka nako ea metsotso e 10. U ka e etsa ka tsela ea hau.

$ ssh-keygen -s sk-user-ca -I test-key -n ubuntu -V -5m:+5m emergency

O tla kopuwa ho saena setifikeiti o sebedisa monwana wa hao. O ka eketsa mabitso a basebelisi a arohanngoa ke lifeheloane, mohlala -n ubuntu,carl,ec2-user.

Ke eona, joale u na le setifikeiti! Ka mor'a moo o hloka ho hlakisa litumello tse nepahetseng:

$ chmod 600 emergency-cert.pub

Ka mor'a sena, o ka sheba litaba tsa setifikeiti sa hau:

$ step ssh inspect emergency-cert.pub

Sena ke tsela eo ka eona e shebahalang ka eona:

emergency-cert.pub
        Type: [email protected] user certificate
        Public key: ECDSA-CERT SHA256:EJSfzfQv1UK44/LOKhBbuh5oRMqxXGBSr+UAzA7cork
        Signing CA: SK-ECDSA SHA256:kLJ7xfTTPQN0G/IF2cq5TB3EitaV4k3XczcBZcLPQ0E
        Key ID: "test-key"
        Serial: 0
        Valid: from 2020-06-24T16:53:03 to 2020-06-24T17:03:03
        Principals:
                ubuntu
        Critical Options: (none)
        Extensions:
                permit-X11-forwarding
                permit-agent-forwarding
                permit-port-forwarding
                permit-pty
                permit-user-rc

Mona senotlolo sa sechaba ke senotlolo sa tšohanyetso seo re se entseng, 'me sk-user-ca e amahanngoa le bolaoli ba setifikeiti.

Qetellong re ikemiselitse ho tsamaisa taelo ea SSH:


$ ssh -i emergency ubuntu@my-hostname
ubuntu@my-hostname:~$

  1. Joale o ka etsa litifikeiti bakeng sa mosebelisi ofe kapa ofe ho moamoheli ea tšepang bolaoli ba setifikeiti sa hau.
  2. O ka tlosa tshohanyetso. U ka boloka sk-user-ca, empa ha ho hlokahale hore u e boloke kaha e boetse e le senotlolo sa tšireletso. U kanna ua batla ho tlosa senotlolo sa mantlha sa sechaba sa PEM ho batho ba u amohelang (mohlala ho ~/.ssh/authorized_keys bakeng sa mosebelisi oa ubuntu) haeba u se sebelisitse bakeng sa phihlello ea tšohanyetso.

Phihlello ea Tšohanyetso: Leano la Ts'ebetso

Beha konopo ea ts'ireletso 'me u tsamaise taelo:

$ ssh-add -K

Sena se tla eketsa senotlolo sa sechaba sa bolaoli ba setifikeiti le tlhaloso ea senotlolo ho moemeli oa SSH.

Joale romella senotlolo sa sechaba ho etsa setifikeiti:

$ ssh-add -L | tail -1 > sk-user-ca.pub

Theha setifikeiti se nang le letsatsi la ho felloa ke nako, mohlala, le sa feteng hora:

$ ssh-keygen -t ecdsa -f emergency
$ ssh-keygen -Us sk-user-ca.pub -I test-key -n [username] -V -5m:+60m emergency
$ chmod 600 emergency-cert.pub

'Me joale SSH hape:

$ ssh -i emergency username@host

Haeba faele ea hau ea .ssh/config e baka mathata a itseng ha o hokela, o ka matha ssh ka khetho ea -F none ho e tlola. Haeba o hloka ho romella setifikeiti ho mosebetsi-'moho, khetho e bonolo le e sireletsehileng ka ho fetisisa ke Magic Wormhole. Ho etsa sena, o hloka feela lifaele tse peli - molemong oa rona, maemo a tšohanyetso le a tšohanyetso-cert.pub.

Seo ke se ratang ka mokhoa ona ke tšehetso ea hardware. U ka kenya linotlolo tsa hau sebakeng se sireletsehileng 'me li ke ke tsa ea kae kapa kae.

E le papatso

Li-server tsa Epic - sena ke VPS e theko e tlaase e nang le li-processor tse matla tse tsoang ho AMD, CPU core frequency ho fihla ho 3.4 GHz. Sebopeho se phahameng se u lumella ho rarolla bothata leha e le bofe - 128 CPU cores, 512 GB RAM, 4000 GB NVMe. Tlo le rona!

Re fana ka mokhoa oa ho fihlella maemo a tšohanyetso ho mabotho a SSH ka linotlolo tsa hardware

Source: www.habr.com

Eketsa ka tlhaloso