SSH autenticação de dois fatores (2FA) com um yubikey

12

Então, eu tenho esse pequeno yubikey e quero adicionar uma camada adicional de segurança ao autenticar sessões ssh. No lado do servidor eu já desabilitei a autenticação por senha e permiti somente o uso de chaves ssh ao efetuar o login.

O problema é, depois de configurar o sshd e o PAM para a autenticação do yubikey, o sshd ainda requer apenas uma chave ssh, nunca me pedem para fornecer uma resposta do yubikey.

Como eu preciso de ambos e da chave ssh e um yubikey?

(ubuntu 14.04 - trusty)

/etc/pam.d/common-auth :

auth    required    pam_yubico.so mode=client try_first_pass id=<id> key=<secret>
auth    [success=1 default=ignore]  pam_unix.so nullok_secure try_first_pass
# here's the fallback if no module succeeds
auth    requisite           pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth    required            pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth    optional            pam_cap.so
# end of pam-auth-update config

/etc/ssh/sshd_config :

...

PasswordAuthentication no
ChallengeResponseAuthentication yes
UsePAM yes
    
por ben lemasurier 10.12.2015 / 04:51

2 respostas

4

Ok, eu continuei e acho que encontrei uma solução razoável. A principal coisa que eu estava faltando anteriormente era o AuthenticationMethods publickey,password do sshd. Isso impõe o requisito para uma publickey e uma senha - "password" agora sendo manipulada por PAM->auth-yubi . Mudanças adicionais também foram necessárias, veja abaixo:

(ubuntu 14.04 - trusty):

/etc/pam.d/yubi-auth

auth    required pam_yubico.so mode=client try_first_pass id=<id> key=<key>

Observação: você pode obter sua ID de acesso e chave secreta aqui

/etc/pam.d/sshd

# Standard Un*x authentication.
#@include common-auth

# Yubikey auth
@include yubi-auth

/ etc / ssh / sshd_config

UsePAM yes
ChallengeResponseAuthentication no
AuthenticationMethods publickey,password
PasswordAuthentication yes

service ssh restart

Verificação

SSH de um host remoto sem uma chave pública

root@0a6442bcb21c:/# ssh [email protected]
The authenticity of host '192.168.1.20 (192.168.1.20)' can't be established.
ECDSA key fingerprint is ea:2a:e3:98:35:72:66:b1:e0:65:6b:3f:60:8a:af:ab.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.20' (ECDSA) to the list of known hosts.
Permission denied (publickey).

SSH de um host remoto com uma chave pública

$ ssh [email protected]
Authenticated with partial success.
[email protected]'s password:
Welcome to Ubuntu 14.04.3 LTS (GNU/Linux 3.19.0-33-generic x86_64)

Melhoria

Seria bom ver "Yubikey Auth:" em vez de "password:" do servidor ssh remoto ao autenticar.

O que acontece quando o servidor ssh não consegue entrar em contato com o sistema de verificação de autenticação do yubico? Uma solução ideal seria inteiramente auto-suficiente.

Comentários e sugestões apreciados.

    
por 10.12.2015 / 15:48
2

Configurar o 2FA com o Yubikey pode ser complicado (já que existe o patch para o U2F do openssh, mas a maneira mais fácil é provavelmente a descrita no site oficial do Yubico .

É basicamente a maneira de armazenar sua chave privada no Yubikey e protegê-la com o PIN. Não é exatamente o 2FA que você está descrito (mas é algo que você tem e o que você conhece ), mas aumenta a segurança ainda mais (Yubikey bloqueia após alguns tentativas mal sucedidas).

TL: DR;

OPENSC_LIBS='locate opensc-pkcs11.so'
yubico-piv-tool -s 9a -a generate -o public.pem
yubico-piv-tool -a verify-pin -P 123456 -a selfsign-certificate -s 9a \
  -S "/CN=SSH key/" -i public.pem -o cert.pem
yubico-piv-tool -a import-certificate -s 9a -i cert.pem
ssh-keygen -D $OPENSC_LIBS/opensc-pkcs11.so -e
ssh -I $OPENSC_LIBS/opensc-pkcs11.so [email protected]
    
por 10.12.2015 / 09:46