Ако сматрате да је аутентификација заснована на лозинки и двофакторска аутентификација непоуздана, размислите о постављању аутентификације засноване на хардверу на Линук-у помоћу ИубиКеи-а.

Нисте сами ако бринете о све већој претњи хаковања. Иако су упити за аутентификацију и 2ФА довољни да одврате већину потенцијалних хакера, хиљаде пробоја и даље успевају сваког дана.

Једно од најчешће рекламираних решења за проблем аутентификације је ИубиКеи. Али шта је ИубиКеи и како функционише потврда аутентичности хардвера? Можете ли да обезбедите свој Линук рачунар помоћу ИубиКеи-а?

Зашто користити ИубиКеи за хардверску аутентификацију?

Постоји много различитих типова аутентификације, укључујући лозинке, СМС аутентификацију, па чак апликације за аутентификацију које можете да користите са својим телефоном. Један мање уобичајен тип је хардверска аутентификација, која укључује коришћење малог додатног уређаја за слање токена за аутентификацију када се то затражи.

ИубиКеис и други уређаји за аутентификацију хардвера имају неколико предности у односу на друге аутентификаторе. Лакши су за употребу, много безбеднији и скоро их је немогуће компромитовати без приступа самом физичком ИубиКеи-у.

instagram viewer

Први кораци са Иубикеи-ом

Можете почети са ИубиКеи-ом у само неколико једноставних корака. Као први корак, требало би да користите квиз који је направио Иубицо да бисте купили најбољи ИубиКеи за спецификације вашег уређаја. Када имате свој ИубиКеи при руци, можете га користити као уређај за аутентификацију за веб локације и апликације.

Можете га чак користити за аутентификацију судо и ССХ на вашем Линук рачунару. Објаснићемо све што треба да знате о избору судо/ССХ-компатибилног ИубиКеи-а и конфигурисању за аутентификацију.

Кредит за слику: Тони Вебстер/Флицкр

Одабир правог ИубиКеи-а за ваш систем

Ако желите да користите свој ИубиКеи за аутентификацију на свом Линук рачунару, постоји неколико ИубиКеи-а који се истичу као супериорне опције. ИубиКеи 5 и ИубиКеи 5 НФЦ су класици који добро раде са системима са УСБ-А и УСБ-Ц, респективно.

Ако желите да користите свој ИубиКеи са својим Линук рачунаром и Андроид телефоном, требало би да размислите о ИубиКеи 5ц НФЦ. Ако имате Линук рачунар и иПхоне, требало би да размислите о ИубиКеи 5ци јер подржава УСБ-Ц и лигхтнинг.

Важно је напоменути да ИубиХСМ серија није компатибилна са судо аутентификацијом. Застарели ИубиКеис могу или не морају бити компатибилни са судо/ССХ аутентификацијом у зависности од њихових специфичних карактеристика.

Пре него што почнете са судо или ССХ аутентификацијом, морате да инсталирате ИубиКеи ППА. Отворите терминал и унесите следеће команде да ажурирате своје пакете и инсталирате ИубиКеи Аутхентицатор и ИубиКеи Манагер:

судо адд-апт-репоситори ппа: иубицо/стабле
судо апт-гет упдате
судо апт инсталл иубикеи-манагер либпам-иубицо либпам-у2ф

Затим ћете морати да проверите да ли је ваш систем спреман за рад са вашим ИубиКеи-ом. Покрените следећу команду у терминалу да проверите своју удев верзију:

судо удевадм --версион

Терминал ће вратити број. Ако је број 244 или већи, ваш систем је компатибилан са ИубиКеи-ом. У овом случају можете прескочити следећи корак.

У супротном, мораћете да конфигуришете свој систем. Требало би да користите следеће команде да проверите да ли је удев инсталиран на вашем рачунару - и да га инсталирате ако није:

дпкг -с либу2ф-удев
судо апт инсталл либу2ф-удев

Затим проверите да ли је ваш ИубиКеи-ов У2Ф интерфејс откључан. Ако имате ИубиКеи НЕО или ИубиКеи НЕО-н, убаците ИубиКеи, отворите ИубиКеи Манагер и идите на Интерфејси. Омогућите У2Ф интерфејс и притисните сачувати.

Подесите ИубиКеи за судо аутентификацију на Линук-у

судо је једна од најопаснијих команди у Линук окружењу. У правим рукама, пружа импресиван ниво приступа који је довољан за обављање већине послова. У погрешним рукама, приступ на основном нивоу који пружа судо може дозволити злонамерним корисницима да искористе или униште систем.

ИубиКеи-ови су одлични за судо аутентификацију јер је њихову аутентификацију готово немогуће реплицирати без приступа самом ИубиКеи-у. Већина ИубиКеи-а је компатибилна са судо аутентификацијом, укључујући серију 5 ФИП-ова, серију кључева, серију 4 ФИП-а, серију Био, серију 5 и серију 4.

Према Иубицо, први корак који треба да предузмете да бисте конфигурисали судо аутентификацију је креирање датотеке са правилима. Ако је ваша удев верзија 188 или новија, инсталирајте нова У2Ф правила са ГитХуб и копирајте 70-у2ф.рулес фајл у /etc/udev/rules.d.

Ако је ваша удев верзија испод 188, инсталирајте застарела У2Ф правила из ГитХуб и копирајте 70-олд-у2ф.рулес фајл у /etc/udev/rules.d.

Ако је ваша удев верзија 244 или новија или сте направили потребне датотеке правила, спремни сте да повежете свој ИубиКеи са својим налогом.

Уметните ИубиКеи у свој рачунар, отворите терминал и унесите следеће команде да повежете ИубиКеи са својим налогом:

мкдир -п ~/.цонфиг/Иубицопаму2фцфг > ~/.цонфиг/Иубицо/у2ф_кеис

Сачекајте неколико тренутака док индикаторска лампица на вашем ИубиКеи-у не почне да трепери. Додирните дугме на свом ИубиКеи-у да бисте потврдили везу са уређајем.

Ако имате други ИубиКеи при руци, требало би да га додате као резервни уређај тако што ћете унети следећу команду и завршити исти процес:

паму2фцфг -н >> ~/.цонфиг/Иубицо/у2ф_кеис

Коначно, мораћете да конфигуришете команду судо да захтева ИубиКеи аутентификацију. Требало би да почнете тако што ћете унети следећу команду да бисте отворили судо конфигурациону датотеку:

судо ви /етц/пам.д/судо

Када је конфигурациона датотека отворена, налепите следећи ред одмах испод @инцлуде цоммон-аутх линија за конфигурисање судо-а да захтева ИубиКеи аутентификацију:

аутх потребан пам_у2ф.со

Сачувајте и изађите из датотеке притиском на Есцапе, куцање :вк, и притисните Ентер, али држите терминал отворен. Нећете моћи да поништите промене које сте направили у судо аутентификацији ако се терминал затвори.

Отворите други терминал и покрените следећу команду док је ваш ИубиКеи искључен, а затим унесите лозинку:

судо ехо тестирање

Процес аутентификације неће успети. Уметните свој ИубиКеи и поново унесите команду и лозинку. Када ИубиКеи индикаторска лампица почне да трепери, додирните дугме на вашем ИубиКеи-у. Требало би да потврди аутентичност команде. Ако јесте, ваш ИубиКеи је у потпуности подешен за судо аутентификацију.

Кредит за слику: Хакан Дахлстром/Флицкр

Како да подесите ИубиКеи за ССХ аутентификацију

Свој ИубиКеи можете користити и за ССХ аутентификацију! Неколико ИубиКеи серија је компатибилно са ССХ, укључујући серију 5 ФИПС, серију 5, серију 4 ФИПС и серију 4. Коришћење ИубиКеи-а за аутентификацију ваших веза ће вам то омогућити учините сваку ССХ пријаву много безбеднијом.

Најбољи метод за подешавање ИубиКеи-а је изнео искусни корисник на ГитХуб. Биће вам потребан ССХ 8.2 или новији и ИубиКеи са фирмвером 5.2.3 или новијим. Можете да проверите своју ОпенССХ верзију — и да је ажурирате ако је потребно — помоћу следећих команди:

ссх -В
судо апт упдате && судо апт упграде

Затим ћете морати да конфигуришете ССХ да прихвати ваш ИубиКеи. Унесите следећу команду за отворите ви едитор и уредите конфигурациону датотеку:

судо ви /етц/ссх/ссхд_цонфиг

Додајте следећу линију у конфигурациону датотеку тако да ваш ИубиКеи буде прихваћен:

ПубкеиАццептедКеиТипес ск-ецдса-сха2-нистп256@опенссх.цом, ск-ссх-ед25519-церт-в01@опенссх.цом

Сачувајте и изађите из датотеке притиском на Есцапе, куцање :вк, и ударање Ентер. На крају, поново покрените ССХ услугу са следећом командом тако да ваша нова конфигурација постане активна:

судо сервице ссх рестарт

Коначно, спремни сте да креирате пар кључева који ћете користити за ССХ аутентификацију. Идите до ССХ директоријума и креирајте свој нови ССХ кључ помоћу следећих команди:

цд хоме/корисничко име/.ссх
ссх-кеиген -т ед25519-ск

Две датотеке ће бити креиране у ~/.ссх/ именик. Имајте на уму да ћете можда морати да користите ецдса-ск уместо ед25519-ск ако је ваш систем некомпатибилан и терминал тражи да регистрација кључа није успела.

Затим ћете морати да додате јавни кључ на свој сервер са следећом командом:

ссх-цопи-ид -и ~/.ссх/ид_ед25519_ск.пуб корисничко име@сервер

Такође би требало да се додате у датотеку судоерс тако да задржите дозволе након што онемогућите роот пријаву. Приступите датотеци и отворите је помоћу програма Висудо.

Не отварајте судоерс датотеку са нормалним уређивачем текста.

Испод реда који гласи роот СВЕ=(СВЕ: СВЕ) СВЕ, додајте следећи ред:

корисничко име СВЕ=(СВЕ: СВЕ) СВЕ

Отвори /etc/ssh/ssd_config датотеку и додајте следеће редове да онемогућите роот пријаву и пријаву засновану на лозинки:

ЦхалленгеРеспонсеАутхентицатион ноПермитРоотЛогин бр

На крају, унесите следећу команду да бисте учитали свој кључ у ваш ССХ агент за време трајања сесије:

ссх-адд ~/.ссх/ид_ед25519_ск

Сада можете да користите свој ИубиКеи за ССХ аутентификацију. Мораћете да уметнете свој ИубиКеи у рачунар када се то од вас затражи и да додирнете дугме када индикатор трепери. Са овим новим методом аутентификације, ССХ приступ вашем удаљеном серверу биће знатно безбеднији.

Друге потенцијалне употребе ИубиКеи-а

Не постоји право ограничење како можете да користите ИубиКеи на свом Линук систему. Ако желите да свој рачунар учините посебно сигурним, размислите о коришћењу ИубиКеи-а за шифровање диска или без лозинке. Можете га чак користити и за потписивање е-поште и датотека ако желите.

Обезбедите свој Линук систем помоћу ИубиКеи-а

Не морате да се зауставите само на коришћењу вашег ИубиКеи-а за ССХ и судо аутентификацију. Такође можете да користите свој ИубиКеи за аутентификацију приступа многим вашим налозима широм веба. Најбољи део је што је почетак рада са ИубиКеи 2ФА једноставан процес.