Ubuntu 20.04 LTS上的 SSH和FIDO认证加强
by liam zheng on 6 May 2020
本篇博客的原文出自 Joshua Powers
Ubuntu 20.04 LTS内最为让人兴奋的安全增强是能将线上快速身份验证(FIDO)或通用2次认证因素(U2F)设备与SSH一起使用。在已经很强大的认证机制SSH上通过一个设备进行二次身份认证使得用户可为其基础设施再增加额外一层安全。Ubuntu 20.04 LTS通过最新版OpenSSH 8.2包含了此功能。
对于用户而言,设备上一次轻触代替一次性密匙进行系统登陆验证。对于在寻找在服务器上使用的FIDO或U2F的管理员来说,他们需要做得事情是安装一个版本号为8.2或更新版支持新密匙类型的OpenSSH 服务器端即可。
新的公匙类型和证书“ecdsa-sk”和“ed25519-sk”支持支持此类身份验证设备。常规的公、私匙文件的保存方式不受影响。用户仍然可以给私匙添加密码。通过使用2次认证,仅私有SSH密钥已不足以执行身份验证。这样的结果使得私匙泄露也不会造成安全威胁。
下面的部分将演示用户如何生成新的密匙类型和使用他们来进行认证。首先,需要把设备接入系统。接下来,还需要生成一个新的密匙和新类型中的一种。在这个过程中,将提示用户轻触令牌以确认操作:
ubuntu@focal-openssh-client:~$ ssh-keygen -t ecdsa-sk Generating public/private ecdsa-sk key pair. You may need to touch your authenticator to authorize key generation. Enter file in which to save the key (/home/ubuntu/.ssh/id_ecdsa_sk): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/ubuntu/.ssh/id_ecdsa_sk Your public key has been saved in /home/ubuntu/.ssh/id_ecdsa_sk.pub
然后,用户可以确认是否新的私钥和公钥已被创建。
ubuntu@focal-openssh-client:~$ ls -l .ssh/id_ecdsa_sk* -rw------- 1 ubuntu ubuntu 610 mar 30 17:58 .ssh/id_ecdsa_sk -rw-r--r-- 1 ubuntu ubuntu 221 mar 30 17:58 .ssh/id_ecdsa_sk.pub
要使用这些密匙,用户需要做的是像以前一样使用ssh-copy-id来复制这些密匙。将公匙加到想要连接的服务器上的~/.ssh/authorized_keys文件内就算完成。
要使用这些密匙登陆一个设备,用户需要执行以下命令:
ubuntu@focal-openssh-client: ~$ ssh -i .ssh/id_ecdsa_sk 10.0.100.75 Confirm user presence for key ECDSA-SK (...) Welcome to Ubuntu Focal Fossa (development branch) (GNU/Linux 5.4.0-18-generic x86_64) (...) Last login: Mon Mar 30 20:29:05 2020 from 10.0.100.1 ubuntu@focal-openssh-server:~$
确认用户存在提示将会出现,并等待用户触摸二次认证设备。
在写这篇博客的同时,GNOME桌面上的提示确认有些问题。关于bug修复信息和时间等内容请参考launchpad bug帖子。
订阅博客文章
查看更多内容
Canonical 参加 2025 RISC-V 中国峰会
年度盛会 RISC-V 中国峰会汇聚全球 RISC-V 社区,包括制定该架构规范的技术、行业、领域和生态系统团体。所有专家将于7月16日至18日齐聚在上海张江科学会堂,分享技术突破、行业里程碑和案例研究。Canonical 很荣幸再次赞助 RISC-V 峰会,欢迎于展期间莅临 1层 D26 展位与我们洽谈! Canonical 在 RISC-V 生态系统中的合作 Canonical 持续积极参与 RISC-V 生态系的发展,与本地与国际合作伙伴深度协作,推动开源操作系统的广泛部署与商用。通过与领先的 RISC-V 硬件合作伙伴合作,Canonical 确保开发人员能够访问安全设计、可扩展且可靠的操作系统,从而加速创新并简化开发流程。Canonical 拥有深厚的 x86 […]
NIS2 合规指南:第 3 部 — 展示对 NIS2 的合规能力
在本系列的第三部分也是最后一部分中,笔者将针对如何制定路线图以及在不加重团队负担的前提下有效证明合规性提供一些实用性建议。 对首次阅读本系列的读者在此说明一下,我们在前两期内容中探讨了 NIS2 的适用对象及其规定的各项要求。如需了解更多背景信息,请务必阅读这两期内容。 如何制定 NIS2 合规路线图? 了解 NIS2 的适用范围及其规定的各项要求之后,接下来就该制定合规路线图了。 以下是我们针对制定路线图提供的一些建议: 完成路线图制定之后,即可开始证明自身的合规性,并向外界和利益攸关方展示。下面我们介绍如何进行证明。 如何有效证明 NIS2 网络安全合规要求? 如果 EU NIS2 适用于您,那么想必您已经在整个企业内构建了众多控制框架来确保所有业务领域都达到合规要求 […]
工业网络安全:迈向 IEC 62443 合规之路
随着制造商们努力进行 IT 与 OT 融合以提升自身效率和生产力,工业网络安全已成为每一位首席信息安全官(CISO)的关注焦点。然而,随着连接性的增强,风险也随之增加。保障设备、网络及系统的安全便成为了一项关键的挑战。作为 Ubuntu 发行商的 Canonical 深知这一需求,并致力于依照工业自动化与控制系统网络安全综合框架 IEC 62443 标准提升自身的能力。 本篇文章中将简要概述 IEC 62443 标准的适用范围,并阐述它与 Canonical 同样积极响应的其他标准之间的联系。文中将重点介绍,Canonical 在汽车标准方面投入的大量工作以及其对行业倡议所做出的贡献,由于在功能安全、设备稳固和安全生命周期管理等方面遵循相同的原则,如何与 IEC 6244 […]