방금 SSH 로그인에 Yubikey를 사용하기 시작했습니다.이것가이드.
잘 작동하지만 Yubikey가 OTP를 수행할 수 있는 경우에만 가능합니다. 몇 번 실수로 키를 눌러 원하지 않는 곳에 임의의 문자열이 뿌려진 후에 PIV만 사용하고 있으므로 OTP를 비활성화할 수 있다고 생각했습니다.
인증서/키가 존재하며 작동 중입니다.
$ ykman --version
YubiKey Manager (ykman) version: 5.1.0
$ cat /etc/fedora-release
Fedora release 38 (Thirty Eight)
$ ykman piv info
PIV version: 5.4.3
PIN tries remaining: 3/3
Management key algorithm: TDES
CHUID: No data available
CCC: No data available
Slot 9A (AUTHENTICATION):
Algorithm: ECCP256
Subject DN: CN=SSH key
Issuer DN: CN=SSH key
Serial: 14009452700000000000
Fingerprint: 1fa375971a89c6f82f3b73218f717cb1d031fbd61c94965qqqqqqqqqqqqqqqqq
Not before: 2023-03-10T10:02:12
Not after: 2024-03-09T10:02:12
OTP를 비활성화할 수 있습니다.
$ ykman config usb --list
OTP
FIDO U2F
FIDO2
OATH
PIV
OpenPGP
$ ykman config usb --disable OTP
USB configuration changes:
Disable OTP
The YubiKey will reboot
Proceed? [y/N]: y
$ ykman config usb --list
FIDO U2F
FIDO2
OATH
PIV
OpenPGP
하지만 이 작업을 수행한 후에는 SSH가 더 이상 작동하지 않으며 예상되는 키 기반 로그인 대신 비밀번호를 입력하라는 메시지가 표시됩니다.
OTP를 다시 활성화할 수 있습니다.
$ ykman config usb --enable OTP
USB configuration changes:
Enable OTP
The YubiKey will reboot
Proceed? [y/N]: y
그러면 SSH 기능이 복원됩니다.
PIV가 작동하려면 왜 OTP를 활성화해야 합니까?