Parola tabanlı ve iki faktörlü kimlik doğrulamanın güvenilir olmadığını düşünüyorsanız, YubiKey kullanarak Linux'ta donanım tabanlı kimlik doğrulamayı kurmayı düşünün.

Sürekli artan bilgisayar korsanlığı tehdidi konusunda endişeleniyorsanız, yalnız değilsiniz. Kimlik doğrulama istemleri ve 2FA, olası bilgisayar korsanlarının çoğunu savuşturmak için yeterli olsa da, her gün binlerce ihlal hala başarılı oluyor.

Kimlik doğrulama sorununa en çok lanse edilen çözümlerden biri YubiKey'dir. Ancak YubiKey nedir ve donanım kimlik doğrulaması nasıl çalışır? YubiKey ile Linux PC'nizi güven altına alabilir misiniz?

Neden Donanım Kimlik Doğrulaması için YubiKey Kullanmalı?

Parolalar, SMS kimlik doğrulaması ve hatta Telefonunuzla kullanabileceğiniz kimlik doğrulama uygulamaları. Daha az yaygın olan bir tür, istendiğinde bir kimlik doğrulama belirteci göndermek için küçük bir eklenti aygıtı kullanmayı içeren donanım kimlik doğrulamasıdır.

YubiKey'ler ve diğer donanım kimlik doğrulama cihazlarının, diğer kimlik doğrulayıcılara göre birkaç avantajı vardır. Kullanımları daha kolay, çok daha güvenli ve fiziksel YubiKey'in kendisine erişim olmadan taviz vermeleri neredeyse imkansız.

instagram viewer

Yubikey'e Başlarken

YubiKey ile sadece birkaç basit adımda başlayabilirsiniz. İlk adım olarak, tarafından yapılan sınavı kullanmalısınız. Yubico cihazınızın özelliklerine en uygun YubiKey'i satın almak için. YubiKey'inizi elinize aldıktan sonra, onu web siteleri ve uygulamalar için bir kimlik doğrulama cihazı olarak kullanabilirsiniz.

Linux bilgisayarınızda sudo ve SSH'nin kimliğini doğrulamak için bile kullanabilirsiniz. Sudo/SSH uyumlu bir YubiKey seçme ve onu kimlik doğrulama için yapılandırma hakkında bilmeniz gereken her şeyi açıklayacağız.

İmaj Kredisi: Tony Webster /Flickr

Sisteminiz için Doğru YubiKey'i Seçmek

YubiKey'inizi Linux bilgisayarınızda kimlik doğrulama için kullanmak istiyorsanız, üstün seçenekler olarak öne çıkan birkaç YubiKey vardır. YubiKey 5 ve YubiKey 5 NFC, sırasıyla USB-A ve USB-C'li sistemlerle iyi çalışan klasiklerdir.

YubiKey'inizi Linux bilgisayarınız ve Android telefonunuzla kullanmak istiyorsanız YubiKey 5c NFC'yi düşünmelisiniz. Bir Linux bilgisayarınız ve bir iPhone'unuz varsa, USB-C ve yıldırımı desteklediği için YubiKey 5ci'yi düşünmelisiniz.

YubiHSM Serisinin sudo kimlik doğrulaması ile uyumlu olmadığına dikkat etmek önemlidir. Eski YubiKey'ler, belirli özelliklerine bağlı olarak sudo/SSH kimlik doğrulaması ile uyumlu olabilir veya olmayabilir.

Sudo veya SSH kimlik doğrulaması ile başlamadan önce YubiKey PPA'yı kurmalısınız. terminali aç ve paketlerinizi güncellemek ve YubiKey Authenticator ile YubiKey Manager'ı yüklemek için aşağıdaki komutları girin:

sudo add-apt-repository ppa: yubico/stable
sudo apt-get güncellemesi
sudo apt yubikey-yöneticisi libpam-yubico libpam-u2f'yi kurun

Ardından, sisteminizin YubiKey'inizle çalışmaya hazır olduğunu doğrulamanız gerekir. Udev versiyonunuzu kontrol etmek için terminalde aşağıdaki komutu çalıştırın:

sudo udevadm --version

Terminal bir sayı döndürür. Numara 244 ve üzeri ise sisteminiz YubiKey ile uyumludur. Bu durumda bir sonraki adımı atlayabilirsiniz.

Aksi takdirde, sisteminizi yapılandırmanız gerekecektir. Bilgisayarınızda udev'in yüklü olup olmadığını kontrol etmek ve yüklü değilse yüklemek için aşağıdaki komutları kullanmalısınız:

dpkg -s libu2f-udev
sudo apt libu2f-udev'i kurun

Ardından, YubiKey'inizin U2F arayüzünün kilidinin açık olup olmadığını kontrol edin. YubiKey NEO'nuz veya YubiKey NEO-n'niz varsa YubiKey'inizi takın, YubiKey Yöneticisini açın ve şuraya gidin: arayüzler. Etkinleştir U2F arayüzü ve bas Kaydetmek.

YubiKey'i Linux'ta sudo Kimlik Doğrulaması için Ayarlayın

sudo, Linux ortamındaki en tehlikeli komutlardan biridir. Doğru ellerde, çoğu işin yapılması için yeterli olan etkileyici bir erişim düzeyi sağlar. Yanlış ellerde, sudo'nun sağladığı kök düzeyinde erişim, kötü niyetli kullanıcıların bir sistemi istismar etmesine veya yok etmesine izin verebilir.

YubiKey'ler sudo kimlik doğrulaması için mükemmeldir çünkü kimlik doğrulamalarının YubiKey'in kendisine erişim olmadan çoğaltılması neredeyse imkansızdır. Çoğu YubiKey, 5 FIP Serisi, Anahtar Serisi, 4 FIP Serisi, Bio Serisi, 5 Serisi ve 4 Serisi dahil olmak üzere sudo kimlik doğrulaması ile uyumludur.

Buna göre Yubico, sudo kimlik doğrulamasını yapılandırmak için atmanız gereken ilk adım bir kural dosyası oluşturmaktır. Udev sürümünüz 188 veya üzeriyse, yeni U2F kurallarını şu adresten yükleyin: GitHub ve kopyala 70-u2f.kuralları dosyalamak /etc/udev/rules.d.

Udev sürümünüz 188'in altındaysa eski U2F kurallarını şu adresten yükleyin: GitHub ve kopyala 70-eski-u2f.kuralları dosyalamak /etc/udev/rules.d.

Udev sürümünüz 244 veya üzeri ise veya gerekli kural dosyalarını oluşturduysanız, YubiKey'inizi hesabınızla ilişkilendirmeye hazırsınız.

YubiKey'i bilgisayarınıza takın, terminali açın ve YubiKey'inizi hesabınızla ilişkilendirmek için aşağıdaki komutları girin:

mkdir -p ~/.config/Yubicopamu2fcfg > ~/.config/Yubico/u2f_keys

YubiKey'inizdeki gösterge ışığı yanıp sönmeye başlayana kadar birkaç dakika bekleyin. Cihaz bağlantısını onaylamak için YubiKey'inizdeki düğmeye dokunun.

Elinizde başka bir YubiKey varsa aşağıdaki komutu girip aynı işlemi tamamlayarak onu da yedek cihaz olarak eklemelisiniz:

pamu2fcfg -n >> ~/.config/Yubico/u2f_keys

Son olarak, sudo komutunu YubiKey kimlik doğrulaması gerektirecek şekilde yapılandırmanız gerekecek. Sudo yapılandırma dosyasını açmak için aşağıdaki komutu girerek başlamalısınız:

sudo vi /etc/pam.d/sudo

Yapılandırma dosyası açıldıktan sonra, aşağıdaki satırı hemen altına yapıştırın. @include common-auth sudo'yu YubiKey kimlik doğrulaması gerektirecek şekilde yapılandırmak için satır:

kimlik doğrulama gerekli pam_u2f.so

basarak dosyayı kaydedin ve çıkın. Kaçmak, yazıyor :wq, ve basarak Girmek, ancak terminali açık tutun. Terminal kapanırsa, sudo kimlik doğrulamasında yaptığınız değişiklikleri geri alamazsınız.

İkinci bir terminal açın ve YubiKey'iniz takılı değilken aşağıdaki komutu çalıştırın, ardından şifrenizi girin:

sudo yankı testi

Kimlik doğrulama işlemi başarısız olur. YubiKey'inizi takın ve komutu ve şifrenizi tekrar girin. YubiKey gösterge ışığı yanıp sönmeye başladığında YubiKey'inizdeki düğmeye dokunun. Komutu doğrulamalıdır. Varsa, YubiKey'iniz sudo kimlik doğrulaması için tamamen ayarlanmıştır.

Resim Kredisi: Håkan Dahlström/Flickr

SSH Kimlik Doğrulaması için YubiKey Nasıl Kurulur

YubiKey'inizi SSH kimlik doğrulaması için de kullanabilirsiniz! 5 FIPS Serisi, 5 Serisi, 4 FIPS Serisi ve 4 Serisi dahil olmak üzere birçok YubiKey serisi SSH ile uyumludur. Bağlantılarınızı doğrulamak için YubiKey'i kullanmak, her SSH girişini çok daha güvenli hale getirin.

YubiKey'i kurmanın en iyi yöntemi, şu adreste deneyimli bir kullanıcı tarafından özetlenmiştir: GitHub. SSH 8.2 veya daha yenisine ve ürün yazılımı 5.2.3 veya daha yenisine sahip bir YubiKey'e ihtiyacınız olacak. Aşağıdaki komutlarla OpenSSH sürümünüzü kontrol edebilir ve gerekirse güncelleyebilirsiniz:

ssh -V
sudo apt güncelleme && sudo apt yükseltme

Ardından, YubiKey'inizi kabul etmesi için SSH'yi yapılandırmanız gerekir. için aşağıdaki komutu girin vi editörünü açın ve yapılandırma dosyasını düzenleyin:

sudo vi /etc/ssh/sshd_config

YubiKey'inizin kabul edilmesi için yapılandırma dosyasına aşağıdaki satırı ekleyin:

PubkeyAcceptedKeyTypes [email protected], [email protected]

basarak dosyayı kaydedin ve çıkın. Kaçmak, yazıyor :wq, ve vurmak Girmek. Son olarak, yeni yapılandırmanızın aktif hale gelmesi için SSH hizmetini aşağıdaki komutla yeniden başlatın:

sudo hizmeti ssh yeniden başlatma

Son olarak, SSH kimlik doğrulaması için kullanacağınız anahtar çiftini oluşturmaya hazırsınız. SSH dizinine gidin ve aşağıdaki komutlarla yeni SSH anahtarınızı oluşturun:

cd ana sayfa/kullanıcı adı/.ssh
ssh-keygen -t ed25519-sk

İçinde iki dosya oluşturulacak ~/.ssh/ dizin. kullanmanız gerekebileceğini unutmayın. ekdsa-sk yerine ed25519-sk sisteminiz uyumsuzsa ve terminal anahtar kaydının başarısız olduğunu sorarsa.

Ardından, aşağıdaki komutla ortak anahtarı sunucunuza eklemeniz gerekir:

ssh-kopya kimliği -i ~/.ssh/id_ed25519_sk.pub username@server

Kök oturum açmayı devre dışı bıraktıktan sonra izinleri korumak için kendinizi sudoers dosyasına da eklemelisiniz. Dosyaya erişin ve visudo ile açın.

Sudoers dosyasını normal bir metin düzenleyiciyle açmayın.

Okuyan satırın altında kök TÜMÜ=(TÜMÜ: TÜMÜ) TÜMÜ, aşağıdaki satırı ekleyin:

kullanıcı adı ALL=(ALL: ALL) ALL

/etc/ssh/ssd_config root oturum açma ve parola tabanlı oturum açmayı devre dışı bırakmak için aşağıdaki satırları dosyaya ekleyin ve ekleyin:

ChallengeResponseAuthentication noPermitRootLogin no

Son olarak, oturum süresince anahtarınızı SSH aracınıza yüklemek için aşağıdaki komutu girin:

ssh-ekle ~/.ssh/id_ed25519_sk

Artık YubiKey'inizi SSH kimlik doğrulaması için kullanabilirsiniz. İstendiğinde YubiKey'inizi bilgisayarınıza takmanız ve gösterge yanıp söndüğünde düğmeye dokunmanız gerekecektir. Bu yeni kimlik doğrulama yöntemiyle, uzak sunucunuza SSH erişimi çok daha güvenli olacaktır.

YubiKey'in Diğer Potansiyel Kullanımları

YubiKey'i Linux sisteminizde nasıl kullanabileceğinize dair gerçek bir sınır yoktur. PC'nizi ekstra güvenli hale getirmek istiyorsanız, disk veya şifresiz şifreleme için YubiKey'inizi kullanmayı düşünün. İsterseniz e-postaları ve dosyaları imzalamak için bile kullanabilirsiniz.

YubiKey ile Linux Sisteminizi Güvenli Hale Getirin

YubiKey'inizi SSH ve sudo kimlik doğrulaması için kullanmayı bırakmanız gerekmez. YubiKey'inizi web'deki birçok hesabınıza erişimi doğrulamak için de kullanabilirsiniz. En iyi yanı, YubiKey 2FA'yı kullanmaya başlamanın basit bir işlem olmasıdır.