Vì vậy, tôi đã nhận được một chút yubikey và tôi muốn thêm một lớp bảo mật bổ sung khi xác thực các phiên ssh. Về phía máy chủ, tôi đã vô hiệu hóa xác thực mật khẩu và chỉ cho phép sử dụng các khóa ssh khi đăng nhập.

Vấn đề là, sau khi định cấu hình sshd và PAM cho yubikey auth, sshd vẫn chỉ yêu cầu khóa ssh, tôi không bao giờ được yêu cầu cung cấp phản hồi từ yubikey.

Làm thế nào để tôi yêu cầu cả hai và khóa ssh và một yubikey?

(ubuntu 14.04 - trusty)

/etc/pam.d/common-auth:

auth    required    pam_yubico.so mode=client try_first_pass id=<id> key=<secret>
auth    [success=1 default=ignore]  pam_unix.so nullok_secure try_first_pass
# here's the fallback if no module succeeds
auth    requisite           pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth    required            pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth    optional            pam_cap.so
# end of pam-auth-update config

/etc/ssh/sshd_config:

...

PasswordAuthentication no
ChallengeResponseAuthentication yes
UsePAM yes

Ok, tôi đã giữ nó và tôi nghĩ rằng tôi đã đưa ra một giải pháp hợp lý. Điều chính tôi đã thiếu trước đây là sshd's AuthenticationMethods publickey,password. Điều này thực thi yêu cầu cho cả khóa công khai và mật khẩu - "mật khẩu" hiện đang được xử lý bởi PAM->auth-yubi. Những thay đổi bổ sung cũng cần thiết, xem bên dưới:

(Ubuntu 14.04 - đáng tin cậy):

/etc/pam.d/yubi-auth

auth    required pam_yubico.so mode=client try_first_pass id=<id> key=<key>

Lưu ý: bạn có thể lấy ID truy cập và khóa bí mật của mình tại đây

/etc/pam.d/sshd

# Standard Un*x authentication.
#@include common-auth

# Yubikey auth
@include yubi-auth

/ etc / ssh / sshd_config

UsePAM yes
ChallengeResponseAuthentication no
AuthenticationMethods publickey,password
PasswordAuthentication yes

service ssh restart

xác minh

SSH từ máy chủ từ xa không có khóa công khai

root@0a6442bcb21c:/# ssh ben@192.168.1.20
The authenticity of host '192.168.1.20 (192.168.1.20)' can't be established.
ECDSA key fingerprint is ea:2a:e3:98:35:72:66:b1:e0:65:6b:3f:60:8a:af:ab.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.20' (ECDSA) to the list of known hosts.
Permission denied (publickey).

SSH từ máy chủ từ xa có khóa công khai

$ ssh ben@192.168.1.20
Authenticated with partial success.
ben@192.168.1.20's password:
Welcome to Ubuntu 14.04.3 LTS (GNU/Linux 3.19.0-33-generic x86_64)

Cải thiện

Sẽ thật tuyệt khi thấy "Yubikey Auth:" thay vì "password:" từ máy chủ ssh từ xa khi xác thực.

Điều gì xảy ra khi máy chủ ssh không thể liên hệ với hệ thống xác minh xác thực của yubico? Một giải pháp lý tưởng sẽ hoàn toàn khép kín.

Nhận xét và đề xuất đánh giá cao.

Thiết lập 2FA với Yubikey có thể khó khăn (nghĩ rằng có bản vá mở cho U2F ), nhưng cách dễ nhất có lẽ là cách được mô tả trên trang web chính thức của Yubico .

Về cơ bản, đây là cách lưu trữ khóa riêng của bạn trên Yubikey và bảo vệ nó bằng mã PIN. Nó không chính xác là 2FA bạn được mô tả (nhưng đó là thứ bạn có và những gì bạn biết ), nhưng nó tăng tính bảo mật hơn nữa (khóa Yubikey sau một số lần thử không thành công).

TL: DR;

OPENSC_LIBS=`locate opensc-pkcs11.so`
yubico-piv-tool -s 9a -a generate -o public.pem
yubico-piv-tool -a verify-pin -P 123456 -a selfsign-certificate -s 9a \
  -S "/CN=SSH key/" -i public.pem -o cert.pem
yubico-piv-tool -a import-certificate -s 9a -i cert.pem
ssh-keygen -D $OPENSC_LIBS/opensc-pkcs11.so -e
ssh -I $OPENSC_LIBS/opensc-pkcs11.so user@remote.example.com