Public:Schacher/ssh s FIDO2

Z HelpDesk
< Public:Schacher
Verze z 21. 8. 2023, 14:32, kterou vytvořil Svamberg (diskuse | příspěvky) (zmena support.zcu.cz/index.php na helpdesk.zcu.cz/wiki (automaticky))
(rozdíl) ← Starší verze | zobrazit aktuální verzi (rozdíl) | Novější verze → (rozdíl)

Návod pro testing

Základní informace

Jde o možnost zabezpečení připojení pomocí ssh. Jsou zde 2 možnosti Discoverable Key a Non Discoverable Key


Výhody Discoverable Key: - Zatím neotestováno z důvodu starého klíče se starým firmware nutný 5.2.3+ 

  - Lze je přenést na jakoukoli kompatibilní pracovní stanici a použít k ověření pomocí dotyku a kódu FIDO2 PIN.
  - Ideální pro snadný přístup z více pracovních stanic (z jákekoli)

Výhody Non Discoverable Key: 

  - Pokud je YubiKey nalezen, nemůže být použit jinou osobou.
  - Ideální pro systémy s vyšším zabezpečením


Instalace

na vzdáleném stroji (VM/server) 

  - do /etc/ssh/sshd_config přidat PubkeyAuthOptions touch-required

doporučené není nutné 

   apt install libfido2-dev libpam-yubico


Non Discoverable Key Instructions

Nastavení FIDO2 klíčenky (vygeneruje klíč pro váš Yubikey) 

  ssh-keygen -t ecdsa-sk / ssh-keygen -t ed25519-sk (doporučený YubiKey s firmware 5.2.3+)

Propagace Public key na vzdálený stroj (VM/server) 

  ssh-copy-id -i ~/.ssh/id_ecdsa_sk.pub user@host


V případě, že máte na stroji již svůj osobní ssh klíč, je nutné ho pro 100% funkčnost odebrat (#zakomentovat).

Citováno z „https://helpdesk.zcu.cz/index.php?title=Public:Schacher/ssh_s_FIDO2&oldid=62898