Fido U2Fなしで説明されているようにSSHキーペアを設定できます。SSHエージェントは、再入力せずに複数のサーバーで動作しますか?旗ですか?スレッドから。 2段階認証が良いようです:秘密鍵パスワードとFido U2F認証。スレッドに記載されているように、ここでもFido / YubiKeyサーバーが必要かどうかはわかりません。ユビコLinuxログイン。私の動機はパスワードを頻繁に忘れてしまい、1段階認証に使用するとパスワードが非常に長くなる可能性があるからです。パスワードがいくら長く難しいにもかかわらず、ワンステップ認証自体は脆弱です。そのため、キーが多くのセキュリティを追加すると思うので、Debian で 2 段階認証にキーを使用したいと思います。
YubiKeyにチケットが送信されましたチーム2017年2月22日
Dear Sir/Madam,
We are thinking how to get 2-step verification with your key and keys in the following thread. Improvements are needed in FIDO U2F and OpenSSH parts. I am thinking how we can push the thing forward with You. Please, say what we can do because the feature request is rather blocked at the moment.
Ticket in OpenSSH part: https://bugzilla.mindrot.org/show_bug.cgi?id=2319
Thread about the feature request: http://unix.stackexchange.com/q/346771/16920
Best regards,
Leo
オペレーティングシステム:Debian 8.7
ハードウェア:Asus Zenbook UX303UB
チケット:2319(ザクゼ)
Fido U2Fキー:YubiKey 4
答え1
SSHではU2Fは使用できません。 2年前、U2Fがまだ新しくエキゾチックだったときにこれを実現しようとしましたが、それ以降は聞いたこともなく進展もありませんでした。
本当に必要な場合は、添付のパッチでOpenSSHをパッチできます。アップストリームエラーしかし、他の人が検討したとしても、いくつかの問題がある可能性があることに注意してください。
答え2
これでこれが可能であることがわかりました。これは非常に最近のものであり、いくつかの制限があります。
これはlibfido2、「新しい」キータイプ(セキュリティキーの場合はsk)の使用を許可することに依存し、ecdsa-skサーバーもこのキータイプをサポートする必要があります。
今朝(2019年11月1日)から、OpenSSHは新しいキータイプとしてU2Fを追加した実験的なU2F / FIDOサポートを提供しています。[Eメール保護]「または単に「ecdsa-sk」(「sk」は「セキュリティキー」を表す)です。 https://marc.info/?l=openssh-unix-dev&m=157259802529972&w=2
このコードはOpenSSH 8.2でリリースされました。https://www.openssh.com/txt/release-8.2
答え3
同様の開発プロジェクト事例YubiKey DBのロック解除をサポートYubiKeysでKeePassXと組み合わせて使用します。 SSHのサポートを考える前に、まずこのプロジェクトを実行する必要があると思います。スタンドアロンのアプリケーションと大規模な人員が簡単になるからです。
答え4
pam_ssh + pam_yubicoの使い方: http://www.ultrabug.fr/hardening-ssh-authentication-using-yubikey-12/
または:これがあなたに必要なものかどうかはわかりませんが、伝送はU2Fをサポートします
これはオープンソース