Hvis du synes at passordbasert og tofaktorautentisering er upålitelig, bør du vurdere å sette opp maskinvarebasert autentisering på Linux ved å bruke YubiKey.

Du er ikke alene hvis du bekymrer deg for den stadig økende trusselen om hacking. Selv om autentiseringsoppfordringer og 2FA er tilstrekkelig for å avverge de fleste potensielle hackere, lykkes fortsatt tusenvis av brudd hver dag.

En av de vanligste løsningene på autentiseringsproblemet er YubiKey. Men hva er YubiKey, og hvordan fungerer maskinvareautentisering? Kan du sikre din Linux-PC med YubiKey?

Hvorfor bruke YubiKey for maskinvareautentisering?

Det finnes mange forskjellige typer autentisering, inkludert passord, SMS-autentisering og til og med autentiseringsapper du kan bruke med telefonen. En mindre vanlig type er maskinvareautentisering, som innebærer å bruke en liten plug-in-enhet for å sende et autentiseringstoken når du blir bedt om det.

YubiKeys og andre maskinvareautentiseringsenheter har noen fordeler i forhold til andre autentiseringsenheter. De er enklere å bruke, mye sikrere og er nesten umulige å kompromisse uten tilgang til selve den fysiske YubiKey.

Komme i gang med Yubikey

Du kan starte med YubiKey med bare noen få enkle trinn. Som et første trinn bør du bruke quizen laget av Yubico for å kjøpe den beste YubiKey for enhetens spesifikasjoner. Når du har YubiKey for hånden, kan du bruke den som en autentiseringsenhet for nettsteder og apper.

Du kan til og med bruke den til å autentisere sudo og SSH på din Linux-datamaskin. Vi vil forklare alt du trenger å vite om å velge en sudo/SSH-kompatibel YubiKey og konfigurere den for autentisering.

Bildekreditt: Tony Webster/Flickr

Velge riktig YubiKey for systemet ditt

Hvis du vil bruke YubiKey for autentisering på Linux-datamaskinen, er det noen få YubiKeys som skiller seg ut som overlegne alternativer. YubiKey 5 og YubiKey 5 NFC er begge klassikere som fungerer godt med systemer med henholdsvis USB-A og USB-C.

Hvis du vil bruke YubiKey med din Linux-datamaskin og Android-telefon, bør du vurdere en YubiKey 5c NFC. Hvis du har en Linux-datamaskin og en iPhone, bør du vurdere en YubiKey 5ci fordi den støtter USB-C og lyn.

Det er viktig å merke seg at YubiHSM-serien ikke er kompatibel med sudo-autentisering. Legacy YubiKeys kan være kompatible med sudo/SSH-autentisering, avhengig av deres spesifikke funksjoner.

Før du starter med sudo- eller SSH-autentisering, må du installere YubiKey PPA. Åpne terminalen og skriv inn følgende kommandoer for å oppdatere pakkene dine og installere YubiKey Authenticator og YubiKey Manager:

sudo add-apt-repository ppa: yubico/stable
sudo apt-get oppdatering
sudo apt installer yubikey-manager libpam-yubico libpam-u2f

Deretter må du bekrefte at systemet ditt er klart til å fungere med YubiKey. Kjør følgende kommando i terminalen for å sjekke udev-versjonen din:

sudo udevadm --versjon

Terminalen vil returnere et nummer. Hvis tallet er 244 eller høyere, er systemet ditt kompatibelt med YubiKey. Du kan hoppe over neste trinn i dette tilfellet.

Ellers må du konfigurere systemet. Du bør bruke følgende kommandoer for å sjekke om udev er installert på datamaskinen din – og for å installere den hvis den ikke er det:

dpkg -s libu2f-udev
sudo apt installer libu2f-udev

Deretter sjekker du om YubiKeys U2F-grensesnitt er ulåst. Hvis du har en YubiKey NEO eller YubiKey NEO-n, sett inn YubiKey, åpne YubiKey Manager og naviger til Grensesnitt. Aktiver U2F grensesnitt og trykk Lagre.

Sett opp YubiKey for sudo-autentisering på Linux

sudo er en av de farligste kommandoene i Linux-miljøet. I de riktige hendene gir det et imponerende tilgangsnivå som er tilstrekkelig til å få utført de fleste jobbene. I feil hender kan rotnivåtilgangen som sudo gir, tillate ondsinnede brukere å utnytte eller ødelegge et system.

YubiKeys er utmerket for sudo-autentisering fordi deres autentisering er nesten umulig å replikere uten tilgang til selve YubiKey. De fleste YubiKeys er kompatible med sudo-autentisering, inkludert 5 FIPs Series, Key Series, 4 FIPs Series, Bio Series, 5 Series og 4 Series.

I følge Yubico, er det første trinnet du må ta for å konfigurere sudo-autentisering å lage en regelfil. Hvis din udev-versjon er 188 eller høyere, installer de nye U2F-reglene fra GitHub og kopiere 70-u2f.regler fil til /etc/udev/rules.d.

Hvis din udev-versjon er under 188, installer de eldre U2F-reglene fra GitHub og kopiere 70-gamle-u2f.regler fil til /etc/udev/rules.d.

Hvis udev-versjonen din er 244 eller høyere, eller du har laget de nødvendige regelfilene, er du klar til å koble YubiKey til kontoen din.

Sett inn YubiKey i datamaskinen din, åpne terminalen og skriv inn følgende kommandoer for å koble YubiKey til kontoen din:

mkdir -p ~/.config/Yubicopamu2fcfg > ~/.config/Yubico/u2f_keys

Vent noen øyeblikk til indikatorlampen på YubiKey begynner å blinke. Trykk på knappen på YubiKey for å bekrefte enhetskoblingen.

Hvis du har en annen YubiKey for hånden, bør du legge den til som en sikkerhetskopienhet ved å skrive inn følgende kommando og fullføre den samme prosessen:

pamu2fcfg -n >> ~/.config/Yubico/u2f_keys

Til slutt må du konfigurere sudo-kommandoen til å kreve YubiKey-autentisering. Du bør starte med å skrive inn følgende kommando for å åpne sudo-konfigurasjonsfilen:

sudo vi /etc/pam.d/sudo

Når konfigurasjonsfilen er åpen, limer du inn følgende linje rett under @inkluder felles-auth linje for å konfigurere sudo til å kreve YubiKey-autentisering:

auth kreves pam_u2f.so

Lagre og avslutt filen ved å trykke Flukt, skriver :wq, og trykker Tast inn, men hold terminalen åpen. Du vil ikke kunne reversere endringene du gjorde i sudo-autentisering hvis terminalen lukkes.

Åpne en annen terminal og kjør følgende kommando med YubiKey koblet fra, og skriv deretter inn passordet ditt:

sudo ekkotesting

Autentiseringsprosessen vil mislykkes. Sett inn YubiKey og skriv inn kommandoen og passordet ditt på nytt. Når YubiKey-indikatorlampen begynner å blinke, trykk på knappen på YubiKey. Den skal autentisere kommandoen. Hvis den gjør det, er YubiKey fullstendig konfigurert for sudo-autentisering.

Bildekreditt: Håkan Dahlström/Flickr

Hvordan sette opp YubiKey for SSH-autentisering

Du kan også bruke YubiKey for SSH-autentisering! Flere YubiKey-serier er kompatible med SSH, inkludert 5 FIPS-serien, 5-serien, 4 FIPS-serien og 4-serien. Å bruke YubiKey til å autentisere tilkoblingene dine vil tillate deg det gjør hver eneste SSH-pålogging mye sikrere.

Den beste metoden for å sette opp YubiKey ble skissert av en erfaren bruker på GitHub. Du trenger SSH 8.2 eller nyere og en YubiKey med fastvare 5.2.3 eller nyere. Du kan sjekke OpenSSH-versjonen din – og oppdatere den om nødvendig – med følgende kommandoer:

ssh -V
sudo apt update && sudo apt oppgradering

Deretter må du konfigurere SSH for å godta YubiKey. Skriv inn følgende kommando for å åpne vi-editoren og rediger konfigurasjonsfilen:

sudo vi /etc/ssh/sshd_config

Legg til følgende linje i konfigurasjonsfilen slik at din YubiKey blir akseptert:

PubkeyAcceptedKeyTypes [email protected], [email protected]

Lagre og avslutt filen ved å trykke Flukt, skriver :wq, og slår Tast inn. Til slutt, start SSH-tjenesten på nytt med følgende kommando slik at den nye konfigurasjonen din blir aktiv:

sudo service ssh omstart

Til slutt er du klar til å lage nøkkelparet du vil bruke for SSH-autentisering. Naviger til SSH-katalogen og lag din nye SSH-nøkkel med følgende kommandoer:

cd hjem/brukernavn/.ssh
ssh-keygen -t ed25519-sk

To filer vil bli opprettet i ~/.ssh/ katalog. Merk at du kanskje må bruke ecdsa-sk i stedet for ed25519-sk hvis systemet ditt er inkompatibelt og terminalen ber om at nøkkelregistrering mislyktes.

Deretter må du legge til den offentlige nøkkelen til serveren din med følgende kommando:

ssh-copy-id -i ~/.ssh/id_ed25519_sk.pub brukernavn@server

Du bør også legge deg selv til sudoers-filen slik at du opprettholder tillatelser etter at du har deaktivert rotpåloggingen. Få tilgang til filen og åpne den med visudo.

Ikke åpne sudoers-filen med et vanlig tekstredigeringsprogram.

Under streken som står root ALL=(ALLE: ALL) ALL, legg til følgende linje:

brukernavn ALLE=(ALLE: ALLE) ALLE

Åpne /etc/ssh/ssd_config fil og legg til følgende linjer for å deaktivere rotpålogging og passordbasert pålogging:

ChallengeResponseAuthentication noPermitRootLogin no

Til slutt, skriv inn følgende kommando for å laste inn nøkkelen din i SSH-agenten din for varigheten av økten:

ssh-add ~/.ssh/id_ed25519_sk

Du kan nå bruke YubiKey for SSH-autentisering. Du må sette inn YubiKey i datamaskinen når du blir bedt om det og trykke på knappen når indikatoren blinker. Med denne nye autentiseringsmetoden vil SSH-tilgang til den eksterne serveren din være betydelig sikrere.

Annen potensiell bruk av YubiKey

Det er ingen reell grense for hvordan du kan bruke YubiKey på Linux-systemet ditt. Hvis du vil gjøre PC-en ekstra sikker, bør du vurdere å bruke YubiKey for disk- eller passordfri kryptering. Du kan til og med bruke den til å signere e-poster og filer hvis du vil.

Sikre Linux-systemet ditt med YubiKey

Du trenger ikke bare å bruke YubiKey for SSH og sudo-autentisering. Du kan også bruke YubiKey for å autentisere tilgang til mange av kontoene dine på nettet. Det beste er at det er en enkel prosess å komme i gang med YubiKey 2FA.