Table of Contents |
---|
Описание стенда
- Сервер: ОС Ubuntu 22.04, openssh 8.9p1, ip-адрес 192.168.88.129.
- Клиент 1: ОС Ubuntu 23.10, openssh 9.3p1, ip-адрес 192.168.88.147.
- Клиент 2: Windows 10, openssh betta 9.5, ip-адрес 192.168.88.1.
Настройка стенда
Настройка
...
Клиента 1
- Для включение защиты по пин-коду необходимо установить пакет ssh-askpass. Для этого необходимо открыть терминал и выполнить команду:
Code Block language bash $ sudo apt-get install ssh-askpass
- Укажем ssh-agent что необходимо запрашивать пин-код. Выполним команду:
Code Block language bash $ eval "$(ssh-agent -s; SSH_ASKPASS=/usr/bin/ssh-askpass)"
- Генерируем ключи:
Code Block language bash $ ssh-keygen -t ecdsa-sk -O resident -O application=ssh:YourTextHere -O verify-required Generating public/private ecdsa-sk key pair. You may need to touch your authenticator to authorize key generation. Enter file in which to save the key (/home/tester/.ssh/id_ecdsa_sk): /home/tester/.ssh/id_ecdsa_sk already exists. Overwrite (y/n)? y Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/tester/.ssh/id_ecdsa_sk Your public key has been saved in /home/tester/.ssh/id_ecdsa_sk.pub The key fingerprint is: SHA256:/vIIfHBajgeOHYoMjbzaE2eUoXU40jwSALfpuHjr9YA tester@tester2310 The key's randomart image is: +-[ECDSA-SK 256]--+ |+.o+ . | | .ooO . | | o= * | |.=. o | |+.o. + S | |.+ooo* @ | |o.E+= B = | |.o.o o +.o | |..+. . .oo | +----[SHA256]-----+
- Копируем открытый ключ на сервер
Code Block language bash $ ssh-copy-id -i /home/tester/.ssh/id_ecdsa_sk.pub tester@192.168.88.129 /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/tester/.ssh/id_ecdsa_sk.pub" /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys tester@192.168.88.129's password: Number of key(s) added: 1 Now try logging into the machine, with: "ssh 'tester@192.168.88.129'" and check to make sure that only the key(s) you wanted were added.
Настройка
...
Клиента 2
- Для использования Рутокен MFA для подключения в подсистеме WSL2 необходимо установить пакет openssh betta. Для этого необходимо открыть командную строку CMD и выполнить команды:
Code Block winget search "openssh beta" winget install "openssh beta"
- Запускаем оболочку WSL2 и добавляем переменную окружения для использования устройств FIDO2. Для этого в командной строке выполним команды:
Code Block language bash wsl $ export SSH_SK_HELPER="/mnt/c/Program Files/OpenSSH/ssh-sk-helper.exe"
- Далее необходимо скопировать файлы ключей для подключения по ssh в папку ~/.ssh/
Code Block language bash $ cp /mnt/c/id_ecdsa_sk ~/.ssh $ cp /mnt/c/id_ecdsa_sk.pub ~/.ssh
Настройка
...
Сервера
Необходимо добавить ключ "verify-required" в строку с ключем подключения в файле ~/.ssh/authorized_keys
...