Nastavení a používání FIDO2 tokenu pro SSH ověření
Nastavení a používání FIDO2 tokenu pro SSH ověření
Zdroj: About Using FIDO2 Security Keys for SSH
[Prereq] Vytvoření NFS share na Synology NAS
- OpenSSH 8.3 nebo novější
- FIDO2 bezpečnostní klíč
- YubiKey Manager (pro nastavení FIDO2 PINu)
Proč používat FIDO2?
- Zvýšená bezpečnost: Soukromý klíč je bezpečně generován a uložen na YubiKey a nelze jej exportovat.
- Ověření uživatele a přítomnosti: Poskytuje ověření uživatele pomocí PINu a přítomnosti uživatele prostřednictvím fyzického dotyku.
- Uživatelské preference nebo politika: Rozšiřuje stávající použití FIDO2, když je bezpečnostní klíč používán také pro přihlašování do webových aplikací a na desktopu.
Konfigurace SSH klienta
macOS
1
2
3
4
brew install openssh
source ~/.profile
sudo ssh-keygen -t ed25519-sk -O resident -O verify-required -C "Your Comment"
Windows 10/11
Ověř, že je OpenSSH nainstalovaný - Get started with OpenSSH for Windows
Otevří Powershell (jako administrator)
1
ssh-keygen -t ed25519-sk -O resident -O verify-required -C "Your Comment"
Použití existujících klíčů na novém počítači
Připoj FIDO2 token
1
2
cd ~/.ssh
ssh-keygen -K
Importování SSH klíčů
Zdroj: ssh-import-id Pro jednoduchý import SSH klíčů ze služeb jako Launchpad nebo Github
- Prefix lp: znamená, že klíče budou načteny z Launchpadu.
- Alternativně prefix gh: způsobí, že nástroj načte klíče z GitHubu.
1
ssh-import-id <username-on-remote-service>
API dotazy:
1
2
Launchpad: https://launchpad.net/~%s/+sshkeys
GitHub: https://api.github.com/users/%s/keys
This post is licensed under
CC BY 4.0
by the author.