Ubuntu 20.04 LTS上的 SSH和FIDO认证加强

by liam zheng on 6 May 2020

本篇博客的原文出自 Joshua Powers

Ubuntu 20.04 LTS内最为让人兴奋的安全增强是能将线上快速身份验证(FIDO)或通用2次认证因素(U2F)设备与SSH一起使用。在已经很强大的认证机制SSH上通过一个设备进行二次身份认证使得用户可为其基础设施再增加额外一层安全。Ubuntu 20.04 LTS通过最新版OpenSSH 8.2包含了此功能。

对于用户而言,设备上一次轻触代替一次性密匙进行系统登陆验证。对于在寻找在服务器上使用的FIDO或U2F的管理员来说,他们需要做得事情是安装一个版本号为8.2或更新版支持新密匙类型的OpenSSH 服务器端即可。

新的公匙类型和证书“ecdsa-sk”和“ed25519-sk”支持支持此类身份验证设备。常规的公、私匙文件的保存方式不受影响。用户仍然可以给私匙添加密码。通过使用2次认证,仅私有SSH密钥已不足以执行身份验证。这样的结果使得私匙泄露也不会造成安全威胁。

下面的部分将演示用户如何生成新的密匙类型和使用他们来进行认证。首先,需要把设备接入系统。接下来,还需要生成一个新的密匙和新类型中的一种。在这个过程中,将提示用户轻触令牌以确认操作:

ubuntu@focal-openssh-client:~$ ssh-keygen -t ecdsa-sk
Generating public/private ecdsa-sk key pair.
You may need to touch your authenticator 
to authorize key generation.

Enter file in which to save the key 
(/home/ubuntu/.ssh/id_ecdsa_sk):

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in 
/home/ubuntu/.ssh/id_ecdsa_sk

Your public key has been saved in 
/home/ubuntu/.ssh/id_ecdsa_sk.pub

然后,用户可以确认是否新的私钥和公钥已被创建。

ubuntu@focal-openssh-client:~$ ls -l .ssh/id_ecdsa_sk*
-rw------- 1 ubuntu ubuntu 610 mar 30 17:58 .ssh/id_ecdsa_sk
-rw-r--r-- 1 ubuntu ubuntu 221 mar 30 17:58 .ssh/id_ecdsa_sk.pub

要使用这些密匙,用户需要做的是像以前一样使用ssh-copy-id来复制这些密匙。将公匙加到想要连接的服务器上的~/.ssh/authorized_keys文件内就算完成。

要使用这些密匙登陆一个设备,用户需要执行以下命令:


ubuntu@focal-openssh-client:
~$ ssh -i .ssh/id_ecdsa_sk 10.0.100.75

Confirm user presence for key ECDSA-SK 
(...)
Welcome to Ubuntu Focal Fossa (development branch) 
(GNU/Linux 5.4.0-18-generic x86_64)
(...)
Last login: Mon Mar 30 20:29:05 2020 from 10.0.100.1
ubuntu@focal-openssh-server:~$

确认用户存在提示将会出现,并等待用户触摸二次认证设备。

在写这篇博客的同时,GNOME桌面上的提示确认有些问题。关于bug修复信息和时间等内容请参考launchpad bug帖子。

前往下载Ubuntu 20.04 LTS (Focal Fossa)

订阅博客文章

选择您感兴趣的主题

在提交此表格的同时,我确认已阅读和同意的隐私声明隐私政策。

查看更多内容

西班牙电信巴西选择Canonical Charmed OpenStack作为行业领先基于云的在线计费系统

2021年1月13日,Ubuntu的发布者Canonical今天宣布其Charmed OpenStack已被西班牙电信巴西(Telefonica Brazil)选中,迁移该地区第一的在线计费系统(OCS)至其私有云——Unica Next。该转型项目将会在Charmed OpenStack上构建8个私有云,这些私有云在地理上的分布将服务于Telefonica巴西的客户。 作为巴西最大的移动运营商,其拥有7千6百万移动用户,Telefonica巴西使用其OCS来给予B2C和B2B客户对从语音和数据电话的准确用量的实时控制和可见性。 比起传统的虚拟化环境,Telefonica选择了Charmed OpenStack来实现未来的可扩展性,从而在此基础上建立长期的路线图。随着如5 […]

CentOS用户迁移到Ubuntu LTS的六大事实

正在考虑从其他如CentOS的Linux平台迁移到Ubuntu? 考虑下Ubuntu!因为Ubuntu是公有云,数据中心和边缘计算上最为流行的Linux发行版。Ubuntu自发布以来市场份额不断增长达到了今天接近50%的占有率。 为什么Ubuntu如此流行? 事实1:开发者更喜欢Ubuntu 根据2020 HackerEarch Developer的调查,66%有经验的开发者和69%的学生喜欢Ubuntu胜过其他Linux发行版。这是因为Ubuntu给他们提供了工作所需的最新和最多的开源软件。 例如,Ubuntu 20.04 LTS自带了超过30000个开源软件包,Python, Ruby, Go, Java, Apache, Nginx, PostgreSQL, MyS […]

MAAS 2.9现已可用-新功能介绍

Canonical很高兴地宣布MAAS 2.9现在已可用。稍后,我们将详细介绍安装它的细节,但首先让我们简单地概述一下新功能和改进。本文的后面,我们将提供更多新特性、功能的细节。 MAAS 2.9新功能和改善 MAAS 2.9提供了22个新的或大幅改善的主要功能: 1、Focal Fossa(20.04)作为默认的调试/部署版本:Ubuntu 20.04 LTS是调试和部署默认的镜像,同时,用Focal部署的机器现在注册为KVM主机。 2、支持OpenVswitch桥接类型:当需要创建桥接时,现在你可创建OpenVswitch桥接类型。 3、支持NUMA、SR-IOV和Hugepapes:MAAS 2.9为使用NUMA的虚拟机添加大量的优化工具 4、大型MAAS安装的性能 […]