Cho phép người dùng thông thường SSH sử dụng khóa riêng mà họ không thể đọc

Giả sử tôi có một bộ máy (được gọi ở đây là máy của khách hàng) chỉ một danh sách nhỏ người (được gọi là nhân viên hỗ trợ) mới được phép SSH vào, chỉ sử dụng một tài khoản bằng máy (tài khoản truy cập hỗ trợ).

Nhân viên hỗ trợ chỉ có nghĩa vụ đăng nhập vào máy của khách hàng bằng các phím. Hơn nữa, nhân viên hỗ trợ có thể phát triển, vì vậy ai đó rời khỏi nhân viên hỗ trợ không được phép đăng nhập vào bất kỳ máy khách hàng nào. Do đó, nhân viên bị cấm đọc các khóa riêng được sử dụng để đăng nhập vào máy của khách hàng. Ngoài ra, không được phép sửa đổi authorized_keystệp trên máy của khách hàng.

Để nhận ra cấu hình đó, tôi đã có ý tưởng sử dụng proxy SSH mà nhân viên hỗ trợ sẽ đăng nhập (với xác thực LDAP, nhưng đó là một vấn đề khác) và có chứa các khóa riêng.

Câu hỏi là: Làm cách nào để tôi cho phép nhân viên hỗ trợ sử dụng khóa riêng SSH mà không thể đọc được?

Tôi tin rằng tôi phải tạo một daemon chạy bằng root trên máy proxy sẽ chấp nhận yêu cầu của người dùng và mở phiên SSH cho họ, nhưng tôi không biết làm thế nào để làm điều đó. Có ý kiến ​​gì không?

Tôi sẽ đề nghị một vài lựa chọn.

1. Bảo vệ khóa ssh và yêu cầu sử dụng sudovề phía nhóm hỗ trợ của bạn. Bạn có thể làm điều này trong suốt với một trình bao bọc. Gọi trình bao bọc, nói /usr/local/bin/ssh-supportvà có chứa một cái gì đó như thế này (chưa được kiểm tra):

   #!/bin/bash
   export PATH=/usr/local/bin:/usr/bin:/bin
   export IFS=$' \t\n'
   export SUSER=ssupport
   
   # Restart if not running under sudo
   test "X$1" != 'X-S' && exec sudo -u "$SUSER" /usr/local/bin/ssh-support -S "$@"
   shift
   export SHOME="$(getent passwd "$SUSER" | cut -d: -f6)"
   
   # Extract single argument as hostname LABEL and validate that we have
   # an RSA private key for it. The target username, real hostname, port,
   # etc. can be defined in ~/.ssh/config for the user $SUSER (ssupport)
   label="$1"
   idfile="$SUSER/.ssh/id_rsa_for_$label"
   cgfile="$SUSER/.ssh/config"
   
   ok=true
   [[ "$label" =~ '/' ]] && { echo "Invalid label: $label" >&2; ok=; }
   [[ ! -s "$idfile" ]] && { echo "Missing identity file: $idfile" >&2; ok=; }
   [[ ! -s "$cgfile" ]] && { echo "Missing configuration file: $cgfile" >&2; ok=; }
   
   if test -n "$ok"
   then
       logger -t ssh-support "$SUDO_USER requested ssh to $label"
       exec ssh -i "$idfile" -F "$cgfile" "$label"
   fi
   exit 1

   Điều này sẽ yêu cầu một mục trong sudoerstệp cho phép người dùng trong supportnhóm sử dụng công cụ. Lệnh này cho phép họ chạy ssh-supportcông cụ với tư cách là ssupportngười dùng - mà bạn phải tạo. Nó không trao bất kỳ đặc quyền gốc.

   %support ALL = (ssupport) /usr/local/bin/ssh-support

   Nếu bạn hài lòng rằng người dùng hỗ trợ không cần cung cấp mật khẩu của riêng họ để chạy công cụ (theo yêu cầu của lệnh sudogọi trong chính tập lệnh), bạn có thể sửa đổi sudoersđịnh nghĩa như vậy:

   %support ALL = (ssupport) NOPASSWD: /usr/local/bin/ssh-support

   Giả sử PATHcó chứa /usr/local/bin/sau đó bạn sẽ gọi nó với ssh-support clientname. Cũng giả sử rằng bạn đã tạo ssupportngười dùng như /home/ssupportbạn sẽ tạo /home/ssupport/.ssh/id_rsa_clientnamevà /home/ssupport/.ssh/id_rsa_clientname.publà cặp chứng chỉ và có một mục nhập máy chủ lưu trữ /home/ssupport/.ssh/configcho clientnamengười dùng, máy chủ, cổng, v.v. đã xác định cho máy đích. Bạn có thể sẽ vô hiệu hóa chuyển tiếp X11, chuyển tiếp cổng, vv một cách rõ ràng. Như thường lệ, /home/ssupport/.sshthư mục sẽ cần được bảo vệ với quyền 0700.

2. Cung cấp cho mỗi thành viên hỗ trợ tài khoản người dùng cục bộ của riêng họ và yêu cầu mỗi người sử dụng khóa ssh riêng của họ để truy cập vào máy chủ của khách hàng. Khi một người rời khỏi nhóm hỗ trợ, bạn xóa khóa ssh của họ khỏi máy chủ của khách hàng. Điều này có nghĩa là bạn không còn phải lo lắng về việc ngăn nhân viên của mình biết khóa ssh riêng.

Những gì bạn thực sự muốn làm là sử dụng SSH CA và ký các khóa được sử dụng bởi mỗi người hỗ trợ (họ nên có khóa ssh riêng, như hộ chiếu) và định cấu hình máy chủ của khách hàng của bạn để sử dụng TrustedUserCAKeys /etc/ssh/users_ca.pubtrong / etc / ssh / sshd_config. Bằng cách này, máy chủ sẽ chấp nhận bất kỳ khóa nào được ký bởi khóa CA (mà bạn có quyền truy cập) và bạn sẽ có thể thu hồi khóa của những người không còn hỗ trợ mà thậm chí không chạm vào ủy quyền.

Một tìm kiếm nhanh cho "ssh ca" đã chỉ ra hướng dẫn này: https://www.digitalocean.com/community/tutorials/how-to-create-an-ssh-ca-to-validate-hosts-and-clents-with -ubfox (cuộn xuống "Cách cấu hình khóa người dùng") - mặc dù hướng dẫn đề cập đến Ubuntu là phân phối độc lập, nhưng bạn cần một phiên bản OpenSSH mới hỗ trợ SSH CA

Một mục blog hay khác về chủ đề này là https://ef.gy/hardening-ssh (cuộn xuống "Chứng chỉ SSH").

Đặc biệt chú ý rằng bạn có thể ký khóa để có hiệu lực trong một thời gian giới hạn, vì vậy chúng sẽ tự động hết hạn!

Có một vài câu trả lời khác nhau liên quan đến tập lệnh bao bọc cho ssh được gọi thông qua sudo hoặc setuid-execable (với một số tài khoản không phải mục đích đặc biệt ). Như nkms nói , việc chuyển qua tất cả các đối số sang ssh cho phép người dùng thực hiện những việc tùy ý bằng các phím ssh mà chúng tôi đang cố gắng bảo vệ. Một số cực đoan khác đã đưa ra là chỉ cho phép một tên máy chủ.

OP cho biết các quản trị viên cần có khả năng tải lên mọi thứ.

Bạn có thể có hai hàm bao cố định-ss-to-ssh khác nhau. Một cho shell đăng nhập, một cho scp. Không có đối số do người dùng cung cấp ngoài tên máy chủ (và tên tệp để tải lên).

Hoặc một tập lệnh bao bọc sử dụng getoptchính nó để phân tích các tùy chọn rất hạn chế và cắm mọi thứ vào một lệnh ssh được cố định nhiều nhất. Bỏ qua (hoặc lỗi) trên các tùy chọn không được công nhận sẽ là cách để đi.

Đừng cố lọc các tùy chọn ssh "nguy hiểm", chỉ cần viết một trình bao bọc có thể thực hiện hai việc: đăng nhập tương tác hoặc tải lên một tệp (tên tệp cục bộ và từ xa). Bạn vẫn cần phải làm một số vệ sinh ở đó, tôi đoán.

Trên thực tế, điều này vẫn dễ dàng để có được sai. Bạn phải tìm cách ngăn người dùng đưa tệp giữ các khóa ssh làm tệp cục bộ. Vì vậy, bạn vẫn đang cố gắng nghĩ về mọi thứ cần phải không được phép, thay vì bắt đầu từ việc không cho phép bất cứ điều gì. Sẽ là một sự khởi đầu để đảm bảo tên tệp không chứa bất kỳ @hoặc :.

Nếu bạn thiết lập máy chủ proxy SSH, bạn có thể sắp xếp rằng shell (in /etc/passwd) của nhân viên của bạn không được đặt thành shell như bash, mà thay vào đó là một tập lệnh đơn giản không cho phép truy cập shell. Thay vào đó, nó sẽ yêu cầu một tên máy chủ đích ( read target) exec ssh "support@$target".

Lưu ý rằng việc sử dụng proxy như thế này có thể gây khó khăn khi sử dụng các công cụ như scpchuyển tệp đến / từ máy của khách hàng. Đây có thể là một vấn đề hoặc một lợi thế!

Những người hỗ trợ của bạn luôn kết nối thông qua máy proxy đó và chỉ từ nó, vì vậy khách hàng có thể chỉ cần xác thực máy proxy bằng HostbasingAuthentication .

Giả sử máy proxy là supporters.pcvà bạn cung cấp hỗ trợ chocustomer.pc

customer.pc sẽ có HostbasingAuthentication có trong /etc/ssh/ssd_config, supporters.pc được liệt kê trong /etc/ssh/shosts.equivvà khóa công khai của nó trong /etc/ssh/ssh_known_hosts.

Khi nhân viên hỗ trợ của bạn đăng nhập vào support@supporters.pc và thực hiện ssh customer.pc, nó sẽ sinh ra ssh-Keysign (8) (cần được setuid), sẽ xử lý việc ký khóa với tệp bạn không thể đọc và cung cấp bằng chứng để supporters.pc rằng kết nối được thực sự đến từ supporters.pc . Vì customer.pc tin tưởng những người ủng hộ.pc , nhân viên của bạn được đăng nhập với tư cách là hỗ trợ .

Sử dụng nhị phân bao bọc

Đối với trường hợp sử dụng cụ thể này (xem ghi chú quan trọng bên dưới), một khả năng là tạo một người dùng (giả sử support-ssh) cụ thể cho các kết nối SSH gửi đi này, sau đó cài đặt một nhị phân bao bọc nhỏ thực thi /usr/bin/ssh.

• Đừng sao chép + chmod sshchính nhị phân, vì bạn sẽ không nhớ sao chép lại mỗi khi bạn áp dụng các cập nhật bảo mật.
• Và đừng sử dụng rootnhư người dùng đặc quyền hơn, vì những lý do tôi tin tưởng là hiển nhiên.

Đây là một giải pháp thay thế tương đương về chức năng để sử dụng sudođể nâng cao các đặc quyền của support-sshtài khoản với sự đánh đổi sau:

• Điều này nhỏ hơn và gọn hơn sudo, do đó, ít có nguy cơ lỗi cấu hình mở ra nhiều hơn bạn dự định.
• Bạn có trách nhiệm mã hóa nó một cách chính xác - chỉ làm điều này nếu bạn cực kỳ cẩn thận và (lý tưởng) có kinh nghiệm về mã hóa bảo mật quan trọng.
• Nó có thể được điều chỉnh để cụ thể hơn sudo(nhưng bạn viết càng nhiều mã, bạn càng cần phải kiểm toán để bảo mật).

Nhị phân của trình bao bọc nên được đặt HOMEvào thư mục chính của support-sshngười dùng, do đó sshsẽ chọn ssh_configkhóa riêng và khóa thích hợp . Nhưng người dùng yêu cầu không được phép đọc ~support-ssh/.ssh/hoặc nội dung của nó.

Trình bao bọc có thể đơn giản như:

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

int main(int argc, char **argv)
{
    setenv("HOME", "/home/support-ssh", 1);
    /* allow only a single, non-option argument */
    if (argc!=2 || *argv[1]=='-') {
        fprintf(stderr, "Usage: %s <hostname>", argv[0]);
        exit(EXIT_FAILURE);
    }
    execv("/usr/bin/ssh", argv);
    return EXIT_FAILURE;
}

Bạn có thể muốn hạn chế hơn và kiểm tra xem đối số argv[1]có nằm trong một tập hợp các tên máy chủ được phép không. Hoặc ít hạn chế hơn và cho phép (một tập hợp con) đối số tùy chọn. Bạn có thể muốn thay thế hoàn toàn các biến môi trường (nhưng giữ những người quan trọng như TERM, LC_*, vv); lưu ý rằng LD_LIBRARY_PATHvà LD_PRELOADđặc biệt nguy hiểm.

Một chương trình bao bọc tương tự có thể được cung cấp scpnếu cần.

Một lưu ý về khả năng ứng dụng

Câu trả lời này giải quyết các trường hợp cụ thể của câu hỏi, trong đó người dùng có nghĩa vụ theo hợp đồng phải tuân theo các thủ tục và có các biện pháp trừng phạt (ví dụ như sa thải) vì vi phạm chúng. Nó cho rằng bạn muốn ngăn chặn các nhân viên tình cờ sao chép các khóa riêng tư xung quanh, thay vì ngăn chặn một kẻ tấn công xác định có được quyền truy cập trái phép.

Tôi cho rằng an ninh đạt được thông qua cả phòng thủ kỹ thuật và phi kỹ thuật, và sự cân bằng đạt được ở đây hoặc bằng cách sử dụng sudolà phù hợp với tình huống được đưa ra.