Hvis du synes, at adgangskodebaseret og tofaktorautentificering er upålidelig, kan du overveje at konfigurere hardwarebaseret godkendelse på Linux ved hjælp af YubiKey.

Du er ikke alene, hvis du bekymrer dig om den stadigt stigende trussel om hacking. Selvom godkendelsesprompter og 2FA er tilstrækkelige til at afværge de fleste potentielle hackere, lykkes tusindvis af brud stadig hver dag.

En af de mest almindeligt udråbte løsninger på autentificeringsproblemet er YubiKey. Men hvad er YubiKey, og hvordan fungerer hardwaregodkendelse? Kan du sikre din Linux-pc med YubiKey?

Hvorfor bruge YubiKey til hardwaregodkendelse?

Der findes mange forskellige typer godkendelse, herunder adgangskoder, SMS-godkendelse og endda godkendelsesapps, du kan bruge med din telefon. En mindre almindelig type er hardwaregodkendelse, som involverer brug af en lille plug-in-enhed til at sende et godkendelsestoken, når du bliver bedt om det.

YubiKeys og andre hardwaregodkendelsesenheder har nogle få fordele i forhold til andre godkendelsesværktøjer. De er nemmere at bruge, meget mere sikre og er næsten umulige at gå på kompromis uden adgang til selve den fysiske YubiKey.

instagram viewer

Kom godt i gang med Yubikey

Du kan starte med YubiKey med nogle få enkle trin. Som et første skridt bør du bruge quizzen lavet af Yubico for at købe den bedste YubiKey til dine enhedsspecifikationer. Når du har din YubiKey ved hånden, kan du bruge den som en godkendelsesenhed til websteder og apps.

Du kan endda bruge det til at autentificere sudo og SSH på din Linux-computer. Vi forklarer alt, hvad du behøver at vide om at vælge en sudo/SSH-kompatibel YubiKey og konfigurere den til godkendelse.

Billedkredit: Tony Webster/Flickr

Valg af den rigtige YubiKey til dit system

Hvis du vil bruge din YubiKey til godkendelse på din Linux-computer, er der et par YubiKeys, der skiller sig ud som overlegne muligheder. YubiKey 5 og YubiKey 5 NFC er begge klassikere, der fungerer godt sammen med systemer med henholdsvis USB-A og USB-C.

Hvis du vil bruge din YubiKey med din Linux-computer og Android-telefon, bør du overveje en YubiKey 5c NFC. Hvis du har en Linux-computer og en iPhone, bør du overveje en YubiKey 5ci, fordi den understøtter USB-C og lyn.

Det er vigtigt at bemærke, at YubiHSM-serien ikke er kompatibel med sudo-godkendelse. Legacy YubiKeys er muligvis ikke kompatible med sudo/SSH-godkendelse afhængigt af deres specifikke funktioner.

Før du starter med sudo- eller SSH-godkendelse, skal du installere YubiKey PPA. Åbn terminalen og indtast følgende kommandoer for at opdatere dine pakker og installere YubiKey Authenticator og YubiKey Manager:

sudo add-apt-repository ppa: yubico/stable
sudo apt-get opdatering
sudo apt installer yubikey-manager libpam-yubico libpam-u2f

Dernæst skal du bekræfte, at dit system er klar til at arbejde med din YubiKey. Kør følgende kommando i terminalen for at kontrollere din udev-version:

sudo udevadm --version

Terminalen returnerer et nummer. Hvis tallet er 244 eller højere, er dit system kompatibelt med YubiKey. Du kan springe det næste trin over i dette tilfælde.

Ellers skal du konfigurere dit system. Du bør bruge følgende kommandoer til at kontrollere, om udev er installeret på din computer - og for at installere det, hvis det ikke er det:

dpkg -s libu2f-udev
sudo apt installer libu2f-udev

Derefter skal du kontrollere, om din YubiKeys U2F-grænseflade er låst op. Hvis du har en YubiKey NEO eller YubiKey NEO-n, indsæt din YubiKey, åbn YubiKey Manager og naviger til Grænseflader. Aktiver U2F interface og tryk Gemme.

Konfigurer YubiKey til sudo-godkendelse på Linux

sudo er en af ​​de farligste kommandoer i Linux-miljøet. I de rigtige hænder giver det et imponerende adgangsniveau, der er tilstrækkeligt til at få udført de fleste opgaver. I de forkerte hænder kan den adgang på rodniveau, som sudo giver, tillade ondsindede brugere at udnytte eller ødelægge et system.

YubiKeys er fremragende til sudo-godkendelse, fordi deres autentificering er næsten umulig at replikere uden adgang til selve YubiKey. De fleste YubiKeys er kompatible med sudo-godkendelse, inklusive 5 FIPs Series, Key Series, 4 FIPs Series, Bio Series, 5 Series og 4 Series.

Ifølge Yubico, det første skridt du skal tage for at konfigurere sudo-godkendelse er at oprette en regelfil. Hvis din udev-version er 188 eller højere, skal du installere de nye U2F-regler fra GitHub og kopiere 70-u2f.regler fil til /etc/udev/rules.d.

Hvis din udev-version er under 188, skal du installere de gamle U2F-regler fra GitHub og kopiere 70-gamle-u2f.regler fil til /etc/udev/rules.d.

Hvis din udev-version er 244 eller højere, eller du har lavet de nødvendige regelfiler, er du klar til at linke din YubiKey med din konto.

Indsæt YubiKey i din computer, åbn terminalen, og indtast følgende kommandoer for at forbinde din YubiKey med din konto:

mkdir -p ~/.config/Yubicopamu2fcfg > ~/.config/Yubico/u2f_keys

Vent nogle øjeblikke, indtil indikatorlyset på din YubiKey begynder at blinke. Tryk på knappen på din YubiKey for at bekræfte enhedslinket.

Hvis du har en anden YubiKey ved hånden, bør du tilføje den som en backup-enhed ved at indtaste følgende kommando og fuldføre den samme proces:

pamu2fcfg -n >> ~/.config/Yubico/u2f_keys

Endelig skal du konfigurere sudo-kommandoen til at kræve YubiKey-godkendelse. Du skal starte med at indtaste følgende kommando for at åbne sudo-konfigurationsfilen:

sudo vi /etc/pam.d/sudo

Når konfigurationsfilen er åben, indsæt følgende linje lige under @inkluder common-auth linje for at konfigurere sudo til at kræve YubiKey-godkendelse:

auth påkrævet pam_u2f.so

Gem og afslut filen ved at trykke på Flugt, skriver :wq, og trykker på Gå ind, men hold terminalen åben. Du vil ikke være i stand til at fortryde de ændringer, du har lavet til sudo-godkendelse, hvis terminalen lukker.

Åbn en anden terminal og kør følgende kommando med din YubiKey frakoblet, og indtast derefter din adgangskode:

sudo ekko test

Godkendelsesprocessen mislykkes. Indsæt din YubiKey og indtast kommandoen og din adgangskode igen. Når YubiKey-indikatoren begynder at blinke, skal du trykke på knappen på din YubiKey. Det bør godkende kommandoen. Hvis den gør det, er din YubiKey fuldt opsat til sudo-godkendelse.

Billedkredit: Håkan Dahlström/Flickr

Sådan konfigurerer du YubiKey til SSH-godkendelse

Du kan også bruge din YubiKey til SSH-godkendelse! Flere YubiKey-serier er kompatible med SSH, inklusive 5 FIPS-serien, 5-serien, 4 FIPS-serien og 4-serien. Brug af YubiKey til at autentificere dine forbindelser vil give dig mulighed for det gør hvert eneste SSH-login meget mere sikkert.

Den bedste metode til opsætning af YubiKey blev beskrevet af en erfaren bruger på GitHub. Du skal bruge SSH 8.2 eller nyere og en YubiKey med firmware 5.2.3 eller nyere. Du kan tjekke din OpenSSH-version – og opdatere den om nødvendigt – med følgende kommandoer:

ssh -V
sudo apt opdatering && sudo apt opgradering

Dernæst skal du konfigurere SSH til at acceptere din YubiKey. Indtast følgende kommando til åbn vi-editoren og rediger konfigurationsfilen:

sudo vi /etc/ssh/sshd_config

Tilføj følgende linje til konfigurationsfilen, så din YubiKey bliver accepteret:

PubkeyAcceptedKeyTypes [email protected], [email protected]

Gem og afslut filen ved at trykke på Flugt, skriver :wq, og slår Gå ind. Til sidst skal du genstarte SSH-tjenesten med følgende kommando, så din nye konfiguration bliver aktiv:

sudo service ssh genstart

Endelig er du klar til at oprette det nøglepar, du vil bruge til SSH-godkendelse. Naviger til SSH-biblioteket og opret din nye SSH-nøgle med følgende kommandoer:

cd home/brugernavn/.ssh
ssh-keygen -t ed25519-sk

To filer vil blive oprettet i ~/.ssh/ vejviser. Bemærk, at du muligvis skal bruge ecdsa-sk i stedet for ed25519-sk hvis dit system er inkompatibelt, og terminalen beder om, at nøgleregistrering mislykkedes.

Dernæst skal du tilføje den offentlige nøgle til din server med følgende kommando:

ssh-copy-id -i ~/.ssh/id_ed25519_sk.pub brugernavn@server

Du bør også tilføje dig selv til sudoers-filen, så du bevarer tilladelser efter at have deaktiveret root-login. Få adgang til filen og åbn den med visudo.

Åbn ikke sudoers-filen med en normal teksteditor.

Under stregen, der lyder root ALL=(ALLE: ALL) ALL, tilføj følgende linje:

brugernavn ALLE=(ALLE: ALLE) ALLE

Åbn /etc/ssh/ssd_config fil og tilføj følgende linjer for at deaktivere root-login og adgangskodebaseret login:

ChallengeResponseAuthentication noPermitRootLogin-nr

Indtast endelig følgende kommando for at indlæse din nøgle i din SSH-agent under sessionens varighed:

ssh-add ~/.ssh/id_ed25519_sk

Du kan nu bruge din YubiKey til SSH-godkendelse. Du skal indsætte din YubiKey i din computer, når du bliver bedt om det, og trykke på knappen, når indikatoren blinker. Med denne nye godkendelsesmetode bliver SSH-adgang til din fjernserver væsentligt mere sikker.

Andre potentielle anvendelser af YubiKey

Der er ingen reel grænse for, hvordan du kan bruge YubiKey på dit Linux-system. Hvis du vil gøre din pc ekstra sikker, kan du overveje at bruge din YubiKey til disk- eller adgangskodefri kryptering. Du kan endda bruge det til at signere e-mails og filer, hvis du vil.

Sikre dit Linux-system med YubiKey

Du behøver ikke bare at bruge din YubiKey til SSH og sudo-godkendelse. Du kan også bruge din YubiKey til at godkende adgang til mange af dine konti på tværs af nettet. Det bedste er, at det er en simpel proces at komme i gang med YubiKey 2FA.