👍🏽 👶🏿 ✍🏼 Registramos o procedimento para acesso de emergência a hosts SSH com chaves de hardware 🦐 ❕ 🏳️

Nesta postagem, desenvolveremos um procedimento para acesso de emergência a hosts SSH usando chaves de segurança offline. Essa é apenas uma abordagem e você pode adaptá-la por si mesmo. Armazenaremos a CA SSH para nossos hosts em uma chave de segurança de hardware. Esse esquema funcionará em praticamente qualquer OpenSSH, incluindo SSH com logon único.

Por que tudo isso? Bem, esta é uma opção de último recurso. Este é um backdoor que permitirá acessar seu servidor caso, por algum motivo, nada mais ajude.

Por que usar certificados em vez de chaves públicas / privadas para acesso de emergência?

, . , 1 5 . . .
«» .

, .

— , . - PIN-. , — . , , , USB- Yubikey 5. , . , .
.
OpenSSH 8.2 , . Ubuntu 20.04 OpenSSH 8.2.
(opcional, mas desejável) ferramenta CLI para verificação de certificados.

Treinamento

Primeiro, você precisa criar uma autoridade de certificação que residirá na chave de segurança do hardware. Insira a chave e execute:

$ ssh-keygen -t ecdsa-sk -f sk-user-ca -O resident -C [security key ID]

Como comentário (-C), apontei para yubikey-9-512-742@smallstep.com para não esquecer a qual chave de segurança essa CA pertence.

Além de adicionar a chave ao Yubikey, dois arquivos serão gerados localmente:

sk-user-ca, um descritor de chave que se refere à chave privada armazenada na chave de segurança,
sk-user-ca.pub, que será a chave pública da sua CA.

Mas não se preocupe, o Yubikey tem outra chave privada que não pode ser recuperada. Portanto, tudo é confiável aqui.

Nos hosts como raiz, adicione (se ainda não tiver sido adicionado) à sua configuração SSHD (/ etc / ssh / sshd_config) o seguinte:

TrustedUserCAKeys /etc/ssh/ca.pub

Em seguida, no host, adicione a chave pública (sk-user-ca.pub) em /etc/ssh/ca.pub

Reinicie o daemon:

# /etc/init.d/ssh restart

Agora podemos tentar acessar o host. Mas primeiro precisamos de um certificado. Crie um par de chaves a ser associado ao certificado:

$ ssh-keygen -t ecdsa -f emergency

Certificados e pares SSH

Às vezes, é tentador usar um certificado como substituto de um par de chaves pública / privada. Mas para autenticação do usuário, um certificado não é suficiente. Cada certificado também possui uma chave privada associada. É por isso que precisamos gerar esse par de chaves "de emergência" antes de podermos emitir um certificado. O importante é que mostremos o certificado assinado para o servidor, indicando o par de chaves para o qual temos uma chave privada.

Assim, a troca de chaves públicas ainda está viva e bem. Funciona mesmo com certificados. Os certificados simplesmente eliminam a necessidade de o servidor armazenar chaves públicas.

Em seguida, crie o próprio certificado. Preciso de autorização de usuário do ubuntu em um intervalo de 10 minutos. Você pode fazer do seu jeito.

$ ssh-keygen -s sk-user-ca -I test-key -n ubuntu -V -5m:+5m emergency

Você será solicitado a assinar o certificado com sua impressão digital. Você pode adicionar nomes de usuário adicionais separados por vírgulas, por exemplo -n ubuntu, carl, ec2-user

É isso, agora você tem um certificado! Em seguida, você precisa especificar as permissões corretas:

$ chmod 600 emergency-cert.pub

Depois disso, você pode se familiarizar com o conteúdo do seu certificado:

$ step ssh inspect emergency-cert.pub

É assim que a minha se parece:

emergency-cert.pub
        Type: ecdsa-sha2-nistp256-cert-v01@openssh.com user certificate
        Public key: ECDSA-CERT SHA256:EJSfzfQv1UK44/LOKhBbuh5oRMqxXGBSr+UAzA7cork
        Signing CA: SK-ECDSA SHA256:kLJ7xfTTPQN0G/IF2cq5TB3EitaV4k3XczcBZcLPQ0E
        Key ID: "test-key"
        Serial: 0
        Valid: from 2020-06-24T16:53:03 to 2020-06-24T17:03:03
        Principals:
                ubuntu
        Critical Options: (none)
        Extensions:
                permit-X11-forwarding
                permit-agent-forwarding
                permit-port-forwarding
                permit-pty
                permit-user-rc

Aqui, a chave pública é a chave de emergência que criamos e a CA está associada ao sk-user-ca.

Finalmente, estamos prontos para executar o comando SSH:


$ ssh -i emergency ubuntu@my-hostname
ubuntu@my-hostname:~$

Agora você pode criar certificados para qualquer usuário no host que confie na sua CA.
Você pode remover a emergência. Você pode manter o sk-user-ca, mas não precisa disso, pois também está na chave de segurança. Você também pode remover a chave pública PEM original de seus hosts (por exemplo, em ~ / .ssh / allowed_keys para o usuário do ubuntu) se a tiver usado para acesso de emergência.

Acesso de Emergência: Plano de Ação

Insira a chave de segurança e execute o comando:

$ ssh-add -K

Isso adicionará a chave pública e o descritor de chave da CA ao agente SSH.

Agora exporte a chave pública para fazer o certificado:

$ ssh-add -L | tail -1 > sk-user-ca.pub

Crie um certificado com uma data de validade de, por exemplo, não mais que uma hora:

$ ssh-keygen -t ecdsa -f emergency
$ ssh-keygen -Us sk-user-ca.pub -I test-key -n [username] -V -5m:+60m emergency
$ chmod 600 emergency-cert.pub

E agora SSH novamente:

$ ssh -i emergency username@host

Se o seu arquivo .ssh / config estiver causando problemas de conexão, você poderá executar o ssh com a opção -F none. Se você precisar enviar um certificado para um colega, a opção mais fácil e segura é o Magic Wormhole . Isso requer apenas dois arquivos - no nosso caso, são emergency e emergency-cert.pub.

O que eu amo nessa abordagem é o suporte de hardware. Você pode colocar as chaves de segurança no cofre e elas não irão a lugar algum.

Registramos o procedimento para acesso de emergência a hosts SSH com chaves de hardware

Treinamento

Acesso de Emergência: Plano de Ação

Publicidade

More articles: