इसलिए मुझे यह थोड़ा छोटा लगा है और मैं ssh सत्र को प्रमाणित करते समय सुरक्षा की एक अतिरिक्त परत जोड़ना चाहता हूं। सर्वर साइड पर मैंने पहले ही पासवर्ड ऑथेंटिकेशन को डिसेबल कर दिया है और लॉग इन करते समय केवल ssh कीज़ के इस्तेमाल की अनुमति देता है।

समस्या यह है कि yubikey ऑर्ट के लिए sshd और PAM को कॉन्फ़िगर करने के बाद, sshd को अभी भी केवल ssh कुंजी की आवश्यकता है, मुझे yubikey से प्रतिक्रिया देने के लिए कभी नहीं कहा जाता है।

मुझे किस प्रकार और दोनों ssh कुंजी और एक yubikey की आवश्यकता है?

(ubuntu 14.04 - trusty)

/etc/pam.d/common-auth:

auth    required    pam_yubico.so mode=client try_first_pass id=<id> key=<secret>
auth    [success=1 default=ignore]  pam_unix.so nullok_secure try_first_pass
# here's the fallback if no module succeeds
auth    requisite           pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth    required            pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth    optional            pam_cap.so
# end of pam-auth-update config

/etc/ssh/sshd_config:

...

PasswordAuthentication no
ChallengeResponseAuthentication yes
UsePAM yes

ठीक है, मैंने इसे रखा और मुझे लगता है कि मैं एक उचित समाधान के साथ आया हूं। प्राथमिक चीज जो मुझे पहले याद आ रही थी, वह sshd की थी AuthenticationMethods publickey,password। यह एक पबलीके और पासवर्ड दोनों के लिए आवश्यकता को लागू करता है - "पासवर्ड" अब संभाला जा रहा है PAM->auth-yubi। अतिरिक्त परिवर्तन भी आवश्यक थे, नीचे देखें:

(ubuntu 14.04 - भरोसेमंद):

/etc/pam.d/yubi-auth

auth    required pam_yubico.so mode=client try_first_pass id=<id> key=<key>

नोट: आप अपनी एक्सेस आईडी और गुप्त कुंजी यहां प्राप्त कर सकते हैं

/etc/pam.d/sshd

# Standard Un*x authentication.
#@include common-auth

# Yubikey auth
@include yubi-auth

/ Etc / ssh / sshd_config

UsePAM yes
ChallengeResponseAuthentication no
AuthenticationMethods publickey,password
PasswordAuthentication yes

service ssh restart

सत्यापन

सार्वजनिक कुंजी के बिना एक दूरस्थ होस्ट से SSH

root@0a6442bcb21c:/# ssh ben@192.168.1.20
The authenticity of host '192.168.1.20 (192.168.1.20)' can't be established.
ECDSA key fingerprint is ea:2a:e3:98:35:72:66:b1:e0:65:6b:3f:60:8a:af:ab.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.20' (ECDSA) to the list of known hosts.
Permission denied (publickey).

एक सार्वजनिक कुंजी के साथ एक दूरस्थ होस्ट से SSH

$ ssh ben@192.168.1.20
Authenticated with partial success.
ben@192.168.1.20's password:
Welcome to Ubuntu 14.04.3 LTS (GNU/Linux 3.19.0-33-generic x86_64)

सुधार की

प्रमाणीकरण करते समय दूरस्थ ssh सर्वर से "पासवर्ड:" के बजाय "Yubikey Auth:" देखना अच्छा होगा।

क्या होता है जब ssh सर्वर yubico के सत्यापन प्रणाली से संपर्क करने में असमर्थ होता है? एक आदर्श समाधान पूरी तरह से आत्म-निहित होगा।

टिप्पणियाँ और सुझाव की सराहना की।

Yubikey के साथ 2FA स्थापित करना मुश्किल हो सकता है (सोचा कि U2F के लिए ओपनशैच पैच है ), लेकिन सबसे आसान तरीका शायद Yubico आधिकारिक वेबसाइट पर वर्णित है ।

यह मूल रूप से Yubikey पर आपकी निजी कुंजी को संग्रहीत करने और पिन के साथ इसे संरक्षित करने का तरीका है। यह वास्तव में आपके द्वारा वर्णित 2FA नहीं है (लेकिन यह कुछ ऐसा है जो आपके पास है और आप क्या जानते हैं ), लेकिन यह सुरक्षा को और भी अधिक बढ़ा देता है (कुछ असफल प्रयासों के बाद Yubikey ताले)।

टी एल: डॉ;

OPENSC_LIBS=`locate opensc-pkcs11.so`
yubico-piv-tool -s 9a -a generate -o public.pem
yubico-piv-tool -a verify-pin -P 123456 -a selfsign-certificate -s 9a \
  -S "/CN=SSH key/" -i public.pem -o cert.pem
yubico-piv-tool -a import-certificate -s 9a -i cert.pem
ssh-keygen -D $OPENSC_LIBS/opensc-pkcs11.so -e
ssh -I $OPENSC_LIBS/opensc-pkcs11.so user@remote.example.com