Ubuntu 20.04 LTS上的 SSH和FIDO认证加强
by liam zheng on 6 May 2020
本篇博客的原文出自 Joshua Powers
Ubuntu 20.04 LTS内最为让人兴奋的安全增强是能将线上快速身份验证(FIDO)或通用2次认证因素(U2F)设备与SSH一起使用。在已经很强大的认证机制SSH上通过一个设备进行二次身份认证使得用户可为其基础设施再增加额外一层安全。Ubuntu 20.04 LTS通过最新版OpenSSH 8.2包含了此功能。
对于用户而言,设备上一次轻触代替一次性密匙进行系统登陆验证。对于在寻找在服务器上使用的FIDO或U2F的管理员来说,他们需要做得事情是安装一个版本号为8.2或更新版支持新密匙类型的OpenSSH 服务器端即可。
新的公匙类型和证书“ecdsa-sk”和“ed25519-sk”支持支持此类身份验证设备。常规的公、私匙文件的保存方式不受影响。用户仍然可以给私匙添加密码。通过使用2次认证,仅私有SSH密钥已不足以执行身份验证。这样的结果使得私匙泄露也不会造成安全威胁。
下面的部分将演示用户如何生成新的密匙类型和使用他们来进行认证。首先,需要把设备接入系统。接下来,还需要生成一个新的密匙和新类型中的一种。在这个过程中,将提示用户轻触令牌以确认操作:
ubuntu@focal-openssh-client:~$ ssh-keygen -t ecdsa-sk Generating public/private ecdsa-sk key pair. You may need to touch your authenticator to authorize key generation. Enter file in which to save the key (/home/ubuntu/.ssh/id_ecdsa_sk): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/ubuntu/.ssh/id_ecdsa_sk Your public key has been saved in /home/ubuntu/.ssh/id_ecdsa_sk.pub
然后,用户可以确认是否新的私钥和公钥已被创建。
ubuntu@focal-openssh-client:~$ ls -l .ssh/id_ecdsa_sk* -rw------- 1 ubuntu ubuntu 610 mar 30 17:58 .ssh/id_ecdsa_sk -rw-r--r-- 1 ubuntu ubuntu 221 mar 30 17:58 .ssh/id_ecdsa_sk.pub
要使用这些密匙,用户需要做的是像以前一样使用ssh-copy-id来复制这些密匙。将公匙加到想要连接的服务器上的~/.ssh/authorized_keys文件内就算完成。
要使用这些密匙登陆一个设备,用户需要执行以下命令:
ubuntu@focal-openssh-client: ~$ ssh -i .ssh/id_ecdsa_sk 10.0.100.75 Confirm user presence for key ECDSA-SK (...) Welcome to Ubuntu Focal Fossa (development branch) (GNU/Linux 5.4.0-18-generic x86_64) (...) Last login: Mon Mar 30 20:29:05 2020 from 10.0.100.1 ubuntu@focal-openssh-server:~$
确认用户存在提示将会出现,并等待用户触摸二次认证设备。
在写这篇博客的同时,GNOME桌面上的提示确认有些问题。关于bug修复信息和时间等内容请参考launchpad bug帖子。
订阅博客文章
查看更多内容
基于 MicroK8s 和 Ubuntu 实时内核支持的 Intel FlexRAN 组件自动扩展
RAN 随着每一代移动通信技术的发展而不断演变,从而在用户设备和核心网络之间实现更快的数据传输。内部互连设备数量的增多使得数据量比以往任何时候都要多。至于现有的网络架构,其挑战在于处理不断增加的工作负载,以及更快地处理、分析和传输数据的能力。而对于 5G 生态系统,则需要实现 RAN 的虚拟化。第五代移动网络需要具备更大的灵活性以适应需求,具备可扩展性以满足运行时的网络条件,以及需要自动化以进行远程管理,而这些只能通过虚拟 RAN 来实现。 Intel FlexRAN 解决了传统 RAN 架构所面临的挑战。它能够从核心网络功能中将底层硬件抽象化,以实现最佳的资源利用。FlexRAN 是 O-RAN (OpenRAN) 的改进和参考实现,具有在不同供应商设备之间进行互操作 […]
云存储安全最佳实践
使用 Ceph 的安全功能确保数据安全 如何将数据安全地存储在云存储系统中? 数据对于任何企业组织而言如同王冠上的宝石,如果丢失或暴露,可能会造成严重的影响。如果不能防止系统故障,可能会导致业务数据的丢失,从而导致业务无法正常运营,最终导致业务失败。将敏感数据暴露给未授权方不仅会导致声誉受损,还可能导致企业遭受巨额罚款。 本篇博客将详细介绍这些风险,以及如何使用 Ceph 的安全功能来减轻这些风险。首先,我们来了解一下数据泄露发生的一些最常见方式: 实物盗窃/运输 与存储相关的硬件、磁盘或整个存储系统的丢失可能导致敏感信息暴露。这可能发生在传统的入室盗窃情况下,即未经授权的一方进入数据中心并移除硬件,或者硬件在运输过程中(例如在返厂维修或更换时)被他人截获。 另一种实体危 […]
本地 AI 部署:您应当了解的相关信息
企业组织正在重塑自身的数字战略,而 AI 是这些变化的核心,许多项目如今已准备好在生产环境中运行。企业通常在公共云上启动这些 AI 项目,因为这样可以最大限度地减少硬件负担。然而,随着项目规模的扩大,出于成本、数字主权或合规性要求等原因,企业组织往往希望迁移本地工作负载。在自身的基础架构上运行 AI 有很多明显的益处,但同时也带来了基础架构和 MLOps 专家需要考虑的一些重大挑战。 MLOps 是以可重复和可再现方式运行 AI 工作负载的推动者。MLOps 平台,如 Charmed Kubeflow,是在 Kubernetes 上运行的云原生应用程序。在本地构建这样的架构有助于企业组织轻松部署、管理和扩展其 AI 应用程序。 本地 AI 部署的优点 在构建自身的 AI […]