إذا وجدت أن المصادقة المستندة إلى كلمة المرور والمصادقة الثنائية غير موثوقة ، ففكر في إعداد المصادقة القائمة على الأجهزة على Linux باستخدام YubiKey.

لست وحدك إذا كنت قلقًا بشأن التهديد المتزايد باستمرار للقرصنة. في حين أن مطالبات المصادقة والمصادقة الثنائية كافية لدرء معظم المتسللين المحتملين ، لا تزال آلاف الانتهاكات تنجح كل يوم.

يعد YubiKey أحد الحلول الأكثر شيوعًا لمشكلة المصادقة. ولكن ما هو YubiKey ، وكيف تعمل مصادقة الأجهزة؟ هل يمكنك تأمين كمبيوتر Linux الخاص بك باستخدام YubiKey؟

لماذا تستخدم YubiKey لمصادقة الأجهزة؟

توجد العديد من أنواع المصادقة المختلفة ، بما في ذلك كلمات المرور ومصادقة الرسائل القصيرة وحتى تطبيقات المصادقة التي يمكنك استخدامها مع هاتفك. أحد الأنواع الأقل شيوعًا هو مصادقة الأجهزة ، والتي تتضمن استخدام جهاز إضافي صغير لإرسال رمز المصادقة عند المطالبة بذلك.

تتمتع مفاتيح YubiKeys وأجهزة مصادقة الأجهزة الأخرى ببعض المزايا مقارنة بالمصدقين الآخرين. إنها أسهل في الاستخدام ، وأكثر أمانًا ، ويكاد يكون من المستحيل المساومة عليها دون الوصول إلى مفتاح YubiKey المادي نفسه.

الشروع في العمل مع Yubikey

instagram viewer

يمكنك البدء باستخدام YubiKey في بضع خطوات بسيطة. كخطوة أولى ، يجب عليك استخدام الاختبار الذي تم إجراؤه بواسطة يوبيكو للتسوق للحصول على أفضل YubiKey لمواصفات جهازك. بمجرد أن يكون لديك YubiKey في متناول اليد ، يمكنك استخدامه كجهاز مصادقة لمواقع الويب والتطبيقات.

يمكنك حتى استخدامه لمصادقة sudo و SSH على كمبيوتر Linux الخاص بك. سنشرح كل ما تحتاج لمعرفته حول اختيار YubiKey المتوافق مع sudo / SSH وتكوينه للمصادقة.

حقوق الصورة: توني ويبستر /فليكر

اختيار مفتاح YubiKey المناسب لنظامك

إذا كنت ترغب في استخدام YubiKey الخاص بك للمصادقة على كمبيوتر Linux الخاص بك ، فهناك عدد قليل من مفاتيح YubiKeys التي تبرز كخيارات ممتازة. يعد كل من YubiKey 5 و YubiKey 5 NFC كلاسيكيتين تعملان بشكل جيد مع الأنظمة المزودة بـ USB-A و USB-C ، على التوالي.

إذا كنت ترغب في استخدام YubiKey الخاص بك مع كمبيوتر Linux وهاتف Android ، فيجب أن تفكر في YubiKey 5c NFC. إذا كان لديك جهاز كمبيوتر يعمل بنظام Linux و iPhone ، فيجب أن تفكر في استخدام YubiKey 5ci لأنه يدعم USB-C و lightning.

من المهم ملاحظة أن سلسلة YubiHSM غير متوافقة مع مصادقة sudo. قد تكون مفاتيح YubiKeys القديمة متوافقة أو غير متوافقة مع مصادقة sudo / SSH اعتمادًا على ميزاتها المحددة.

قبل البدء بمصادقة sudo أو SSH ، يجب عليك تثبيت YubiKey PPA. افتح المحطة وأدخل الأوامر التالية لتحديث الحزم الخاصة بك وتثبيت YubiKey Authenticator و YubiKey Manager:

sudo add-apt-repository ppa: yubico / stabil
sudo apt-get update
sudo apt install yubikey-manager libpam-yubico libpam-u2f

بعد ذلك ، ستحتاج إلى التحقق من أن نظامك جاهز للعمل مع مفتاح YubiKey الخاص بك. قم بتشغيل الأمر التالي في الجهاز للتحقق من إصدار udev الخاص بك:

sudo udevadm - الإصدار

ستعيد المحطة رقمًا. إذا كان الرقم 244 أو أعلى ، فإن نظامك متوافق مع YubiKey. يمكنك تخطي الخطوة التالية في هذه الحالة.

خلاف ذلك ، سوف تحتاج إلى تكوين النظام الخاص بك. يجب عليك استخدام الأوامر التالية للتحقق مما إذا كان udev مثبتًا على جهاز الكمبيوتر الخاص بك - ولتثبيته إذا لم يكن مثبتًا:

dpkg -s libu2f-udev
sudo apt install libu2f-udev

بعد ذلك ، تحقق مما إذا كانت واجهة U2F الخاصة بـ YubiKey غير مؤمنة. إذا كان لديك YubiKey NEO أو YubiKey NEO-n ، فأدخل مفتاح YubiKey الخاص بك ، وافتح YubiKey Manager ، وانتقل إلى واجهات. قم بتمكين ملف واجهة U2F و اضغط يحفظ.

قم بإعداد مفتاح YubiKey لمصادقة sudo على نظام Linux

sudo هو أحد أخطر الأوامر في بيئة Linux. في اليد اليمنى ، يوفر مستوى رائعًا من الوصول يكفي لإنجاز معظم الوظائف. في الأيدي الخطأ ، يمكن أن يسمح الوصول على مستوى الجذر الذي يوفره sudo للمستخدمين الخبثاء باستغلال أو تدمير نظام.

تعد YubiKeys ممتازة لمصادقة sudo لأن مصادقتها يكاد يكون من المستحيل نسخها دون الوصول إلى YubiKey نفسه. تتوافق معظم مفاتيح YubiKeys مع مصادقة sudo ، بما في ذلك سلسلة 5 FIPs و Key Series و 4 FIPs Series و Bio Series و 5 Series و 4 Series.

وفق يوبيكو، الخطوة الأولى التي يجب عليك اتخاذها لتكوين مصادقة sudo هي إنشاء ملف قواعد. إذا كان إصدار udev لديك هو 188 أو أعلى ، فقم بتثبيت قواعد U2F الجديدة من جيثب وانسخ ملف 70-u2f.rules ملف /etc/udev/rules.d.

إذا كان إصدار udev لديك أقل من 188 ، فقم بتثبيت قواعد U2F القديمة من جيثب وانسخ ملف 70- قواعد u2f ملف /etc/udev/rules.d.

إذا كان إصدار udev لديك هو 244 أو أعلى أو كنت قد أنشأت ملفات القواعد اللازمة ، فأنت جاهز لربط مفتاح YubiKey الخاص بك بحسابك.

أدخل مفتاح YubiKey في جهاز الكمبيوتر الخاص بك ، وافتح المحطة ، وأدخل الأوامر التالية لربط مفتاح YubiKey الخاص بك بحسابك:

mkdir -p ~ / .config / Yubicopamu2fcfg> ~ / .config / Yubico / u2f_keys

انتظر بضع لحظات حتى يبدأ ضوء المؤشر الموجود على مفتاح Yubi في الوميض. المس الزر الموجود على مفتاح Yubi الخاص بك لتأكيد ارتباط الجهاز.

إذا كان لديك YubiKey آخر في متناول اليد ، فيجب عليك إضافته كجهاز نسخ احتياطي عن طريق إدخال الأمر التالي وإكمال نفس العملية:

pamu2fcfg -n >> ~ / .config / Yubico / u2f_keys

أخيرًا ، ستحتاج إلى تكوين أمر sudo لطلب مصادقة YubiKey. يجب أن تبدأ بإدخال الأمر التالي لفتح ملف تكوين sudo:

sudo vi /etc/pam.d/sudo

بمجرد فتح ملف التكوين ، الصق السطر التالي أسفل ملف التكوين تضمين @ المصادقة المشتركة لتكوين sudo لطلب مصادقة YubiKey:

المصادقة مطلوبة pam_u2f.so

احفظ واخرج من الملف بالضغط على يهرب، الكتابة : wqو ملحة يدخل، ولكن اترك الجهاز مفتوحًا. لن تتمكن من عكس التغييرات التي أجريتها على مصادقة sudo إذا تم إغلاق الجهاز.

افتح Terminal الثاني وقم بتشغيل الأمر التالي مع إلغاء توصيل YubiKey الخاص بك ، ثم أدخل كلمة المرور الخاصة بك:

sudo اختبار الصدى

ستفشل عملية المصادقة. أدخل مفتاح YubiKey الخاص بك وأعد إدخال الأمر وكلمة المرور الخاصة بك. عندما يبدأ ضوء مؤشر YubiKey في الوميض ، المس الزر الموجود على مفتاح YubiKey الخاص بك. يجب أن يصادق على الأمر. إذا حدث ذلك ، فسيتم إعداد مفتاح YubiKey الخاص بك بالكامل لمصادقة sudo.

حقوق الصورة: Håkan Dahlström /فليكر

كيفية إعداد YubiKey لمصادقة SSH

يمكنك أيضًا استخدام مفتاح YubiKey الخاص بك لمصادقة SSH! تتوافق العديد من سلاسل مفاتيح YubiKey مع SSH ، بما في ذلك سلسلة 5 FIPS و 5 Series و 4 FIPS Series و 4 Series. سيسمح لك استخدام YubiKey لمصادقة اتصالاتك اجعل كل تسجيل دخول عبر SSH أكثر أمانًا.

تم تحديد أفضل طريقة لإعداد YubiKey بواسطة مستخدم متمرس في جيثب. ستحتاج إلى SSH 8.2 أو أحدث و YubiKey مع البرامج الثابتة 5.2.3 أو أحدث. يمكنك التحقق من إصدار OpenSSH الخاص بك - وتحديثه إذا لزم الأمر - باستخدام الأوامر التالية:

ssh -V
تحديث sudo apt && sudo apt Upgrade

بعد ذلك ، ستحتاج إلى تهيئة SSH لقبول مفتاح YubiKey الخاص بك. أدخل الأمر التالي إلى افتح محرر vi وقم بتحرير ملف التكوين:

sudo vi / etc / ssh / sshd_config

أضف السطر التالي إلى ملف التكوين حتى يتم قبول مفتاح YubiKey الخاص بك:

PubkeyAcceptedKeyTypes [email protected]، [email protected]

احفظ واخرج من الملف بالضغط على يهرب، الكتابة : wqو الضرب يدخل. أخيرًا ، أعد تشغيل خدمة SSH بالأمر التالي حتى يصبح التكوين الجديد نشطًا:

إعادة تشغيل sudo service ssh

أخيرًا ، أنت جاهز لإنشاء زوج المفاتيح الذي ستستخدمه لمصادقة SSH. انتقل إلى دليل SSH وأنشئ مفتاح SSH الجديد بالأوامر التالية:

cd home / username / .ssh
ssh-keygen -t ed25519-sk

سيتم إنشاء ملفين في ~ / .ssh / الدليل. لاحظ أنك قد تحتاج إلى استخدام إكسدسا- sk بدلاً من ed25519-sk إذا كان نظامك غير متوافق وطالبت المحطة الطرفية بفشل تسجيل المفتاح.

بعد ذلك ، ستحتاج إلى إضافة المفتاح العام إلى خادمك باستخدام الأمر التالي:

ssh-copy-id -i ~ / .ssh / id_ed25519_sk.pub اسم المستخدم @ الخادم

يجب عليك أيضًا إضافة نفسك إلى ملف sudoers حتى تحتفظ بالأذونات بعد تعطيل تسجيل الدخول إلى الجذر. قم بالوصول إلى الملف وافتحه باستخدام visudo.

لا تفتح ملف sudoers باستخدام محرر نصوص عادي.

تحت السطر الذي يقرأ الجذر ALL = (ALL: ALL) ALL، أضف السطر التالي:

اسم المستخدم ALL = (ALL: ALL) ALL

افتح ال /etc/ssh/ssd_config ملف وإضافة الأسطر التالية لتعطيل تسجيل الدخول إلى الجذر وتسجيل الدخول المستند إلى كلمة المرور:

ChallengeResponseAuthentication noPermitRootLogin no

أخيرًا ، أدخل الأمر التالي لتحميل مفتاحك في وكيل SSH الخاص بك طوال مدة الجلسة:

إضافة ssh ~ / .ssh / id_ed25519_sk

يمكنك الآن استخدام مفتاح YubiKey الخاص بك لمصادقة SSH. ستحتاج إلى إدخال مفتاح YubiKey في جهاز الكمبيوتر الخاص بك عندما يُطلب منك ذلك والنقر على الزر عندما يومض المؤشر. باستخدام طريقة المصادقة الجديدة هذه ، سيكون وصول SSH إلى خادمك البعيد أكثر أمانًا بشكل ملحوظ.

الاستخدامات المحتملة الأخرى لـ YubiKey

لا يوجد حد حقيقي لكيفية استخدام YubiKey على نظام Linux الخاص بك. إذا كنت ترغب في جعل جهاز الكمبيوتر الخاص بك أكثر أمانًا ، ففكر في استخدام YubiKey للقرص أو التشفير الخالي من كلمة المرور. يمكنك حتى استخدامه لتوقيع رسائل البريد الإلكتروني والملفات إذا كنت تريد ذلك.

قم بتأمين نظام Linux الخاص بك باستخدام YubiKey

لا يتعين عليك التوقف عند استخدام مفتاح YubiKey الخاص بك لمصادقة SSH و sudo. يمكنك أيضًا استخدام مفتاح YubiKey الخاص بك لمصادقة الوصول إلى العديد من حساباتك عبر الويب. أفضل جزء هو أن بدء استخدام YubiKey 2FA هو عملية بسيطة.