Fido U2F 없이 설명된 대로 SSH 키 쌍을 설정할 수 있습니다.SSH 에이전트는 다시 입력하지 않고도 여러 서버에서 작동합니까? 깃발이요?스레드에서. 2단계 인증이 좋을 것 같습니다: 개인 키 비밀번호와 Fido U2F 인증. 스레드에 명시된 대로 여기에도 Fido/YubiKey 서버가 필요한지 잘 모르겠습니다.유비코 리눅스 로그인. 제 동기는 비밀번호를 자주 잊어버리고 1단계 인증에 사용하면 비밀번호가 매우 길어질 수 있기 때문입니다. 비밀번호가 아무리 길고 어려운데도 불구하고 원스텝 인증 자체는 취약합니다. 따라서 키가 많은 보안을 추가한다고 생각하기 때문에 데비안에서 2단계 인증에 키를 사용하고 싶습니다.
YubiKey로 티켓이 전송되었습니다팀2017년 2월 22일
Dear Sir/Madam,
We are thinking how to get 2-step verification with your key and keys in the following thread. Improvements are needed in FIDO U2F and OpenSSH parts. I am thinking how we can push the thing forward with You. Please, say what we can do because the feature request is rather blocked at the moment.
Ticket in OpenSSH part: https://bugzilla.mindrot.org/show_bug.cgi?id=2319
Thread about the feature request: http://unix.stackexchange.com/q/346771/16920
Best regards,
Leo
운영 체제: Debian 8.7
하드웨어: Asus Zenbook UX303UB
티켓:2319 화(자쿠제)
Fido U2F 키: YubiKey 4
답변1
SSH에서는 U2F를 사용할 수 없습니다. 2년 전 U2F가 아직 새롭고 이국적이었을 때 이를 실현하려는 시도가 있었지만 그 이후로는 들어본 적도 없고 진전도 없었습니다.
정말로 원한다면 첨부된 패치로 OpenSSH를 패치할 수 있습니다.업스트림 오류, 하지만 다른 사람이 검토했다고 하더라도 일부 문제가 있을 수 있다는 점을 참고하시기 바랍니다.
답변2
이제 이것이 가능하다는 것이 밝혀졌습니다. 이것은 매우 최근의 것이며 몇 가지 제한 사항이 있습니다.
이는 libfido2"새" 키 유형(보안 키의 경우 sk) 사용 허용 에 의존하며 ecdsa-sk서버도 이 키 유형을 지원해야 합니다.
오늘 아침(2019년 11월 1일)부터 OpenSSH는 이제 새로운 키 유형으로 U2F가 추가된 실험적인 U2F/FIDO 지원을 제공합니다."[이메일 보호됨]" 또는 간단히 "ecdsa-sk"("sk"는 "보안 키"를 나타냄)입니다. https://marc.info/?l=openssh-unix-dev&m=157259802529972&w=2
이 코드는 OpenSSH 8.2에서 릴리스되었습니다.https://www.openssh.com/txt/release-8.2
답변3
유사한 개발 프로젝트 사례YubiKey DB 잠금 해제 지원YubiKeys와 함께 KeePassX와 함께 사용합니다. SSH 지원을 생각하기 전에 이 프로젝트를 먼저 수행해야 한다고 생각합니다. 독립 실행형 애플리케이션과 대규모 인력이 더 쉬울 것이기 때문입니다.
답변4
pam_ssh + pam_yubico를 사용하는 방법: http://www.ultrabug.fr/hardening-ssh-authentication-using-yubikey-12/
또는: 이것이 당신에게 필요한 것인지 확실하지 않지만,전송은 U2F를 지원합니다
이것은오픈 소스