Ubuntu 20.04 LTS上的 SSH和FIDO认证加强

by liam zheng on 6 May 2020

本篇博客的原文出自 Joshua Powers

Ubuntu 20.04 LTS内最为让人兴奋的安全增强是能将线上快速身份验证(FIDO)或通用2次认证因素(U2F)设备与SSH一起使用。在已经很强大的认证机制SSH上通过一个设备进行二次身份认证使得用户可为其基础设施再增加额外一层安全。Ubuntu 20.04 LTS通过最新版OpenSSH 8.2包含了此功能。

对于用户而言,设备上一次轻触代替一次性密匙进行系统登陆验证。对于在寻找在服务器上使用的FIDO或U2F的管理员来说,他们需要做得事情是安装一个版本号为8.2或更新版支持新密匙类型的OpenSSH 服务器端即可。

新的公匙类型和证书“ecdsa-sk”和“ed25519-sk”支持支持此类身份验证设备。常规的公、私匙文件的保存方式不受影响。用户仍然可以给私匙添加密码。通过使用2次认证,仅私有SSH密钥已不足以执行身份验证。这样的结果使得私匙泄露也不会造成安全威胁。

下面的部分将演示用户如何生成新的密匙类型和使用他们来进行认证。首先,需要把设备接入系统。接下来,还需要生成一个新的密匙和新类型中的一种。在这个过程中,将提示用户轻触令牌以确认操作:

ubuntu@focal-openssh-client:~$ ssh-keygen -t ecdsa-sk
Generating public/private ecdsa-sk key pair.
You may need to touch your authenticator 
to authorize key generation.

Enter file in which to save the key 
(/home/ubuntu/.ssh/id_ecdsa_sk):

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in 
/home/ubuntu/.ssh/id_ecdsa_sk

Your public key has been saved in 
/home/ubuntu/.ssh/id_ecdsa_sk.pub

然后,用户可以确认是否新的私钥和公钥已被创建。

ubuntu@focal-openssh-client:~$ ls -l .ssh/id_ecdsa_sk*
-rw------- 1 ubuntu ubuntu 610 mar 30 17:58 .ssh/id_ecdsa_sk
-rw-r--r-- 1 ubuntu ubuntu 221 mar 30 17:58 .ssh/id_ecdsa_sk.pub

要使用这些密匙,用户需要做的是像以前一样使用ssh-copy-id来复制这些密匙。将公匙加到想要连接的服务器上的~/.ssh/authorized_keys文件内就算完成。

要使用这些密匙登陆一个设备,用户需要执行以下命令:


ubuntu@focal-openssh-client:
~$ ssh -i .ssh/id_ecdsa_sk 10.0.100.75

Confirm user presence for key ECDSA-SK 
(...)
Welcome to Ubuntu Focal Fossa (development branch) 
(GNU/Linux 5.4.0-18-generic x86_64)
(...)
Last login: Mon Mar 30 20:29:05 2020 from 10.0.100.1
ubuntu@focal-openssh-server:~$

确认用户存在提示将会出现,并等待用户触摸二次认证设备。

在写这篇博客的同时,GNOME桌面上的提示确认有些问题。关于bug修复信息和时间等内容请参考launchpad bug帖子。

前往下载Ubuntu 20.04 LTS (Focal Fossa)

查看更多内容

MicroK8s现在已原生支持Windows和macOS

Windows和macOS的开发者现在可以原生地使用MicroK8s。这意味着您可以像在Linux上使用一样在Windows和Mac使用kubectl与本地的MicroK8s交互。与桌面的整合使得您可以更好地在本地开发、编译、测试容器化应用。 MicroK8s与上游的Kubernetes一致,旨在提供简易性和弹性的Kubernetes环境。它提供合理的默认设置,并将最常用的组件捆绑在一起,以获得触手可及的访问体验。一个命令就可以安装一个单节点且在几秒内完成,这也使得您可以轻松地在任何系统上添加或卸载。 MicroK8s被开发者广泛地用于本地测试。安装后,您可以一条命令开启和停止Kubernetes来获得更长的电池续航。内建的GPGPU加速,Istio,Prometheus […]

OpenStack Ussuri现已可在Ubuntu 18.04 LTS和20.04 LTS上使用

今天Canonical宣布了OpenStack Ussuri在Ubuntu 20.04 LTS 和Ubuntu 18.04 LTS上的使用性已完备。当今OpenStack上游版本中最显着的增强是围绕开放虚拟网络(OVN)驱动程序和Masakari项目的稳定工作,这使组织、企业可以在开源软件定义网络(SDN)平台之上运行高可用性工作负载。Canonical发行Charmed OpenStack发行版中对OpenStack Ussuri全方位企业支持将随着20.05版本且于5月20日正式支持。 “很高兴看到开放基础架构社区的成员将新版本的特性和功能如此迅速地交付给用户” OpenStack基金会COO,Mark Collier说到。“感谢上游社区的辛勤工作,使得升级比以往任何 […]

在Windows上通过WSL 2和Microk8s创建多节点Kubernetes集群

Kubernetes经历了5年无与伦比的增长,彻底改变了IT行业。它已成为组织和企业成功并具有竞争优势的关键因素。为了将这些优势达到最优,组织和企业正在寻找新的方法来降低Kubernetes的复杂性并获得与其他系统的互操作性。 比以前更快,更简易和无缝连接 要了解MicroK8s和WSL 2的组合带了的低运营需求和完全一致的Kubernetes体验,仅需在Windows执行一条安装命令即可。这得益于在Windows无缝环境内创建一个完整Linux终端的WSL 2的兼容性。 我们将参加由WSL Corsair和微软MVP,Nuno do Carmo的演讲议题,他也将带我们了解WSL 2最新的功能,MicroK8s的安装,创建一个多节点Kubernetes集群和通过Kuber […]