यदि आपको पासवर्ड-आधारित और दो-कारक प्रमाणीकरण अविश्वसनीय लगता है, तो YubiKey का उपयोग करके लिनक्स पर हार्डवेयर-आधारित प्रमाणीकरण स्थापित करने पर विचार करें।

यदि आप हैकिंग के लगातार बढ़ते खतरे के बारे में चिंतित हैं तो आप अकेले नहीं हैं। जबकि प्रमाणीकरण संकेत और 2FA अधिकांश संभावित हैकर्स को दूर करने के लिए पर्याप्त हैं, हजारों उल्लंघन अभी भी हर दिन सफल होते हैं।

प्रमाणीकरण समस्या के लिए सबसे अधिक प्रचारित समाधानों में से एक है YubiKey। लेकिन YubiKey क्या है और हार्डवेयर ऑथेंटिकेशन कैसे काम करता है? क्या आप अपने Linux PC को YubiKey से सुरक्षित कर सकते हैं?

हार्डवेयर प्रमाणीकरण के लिए YubiKey का उपयोग क्यों करें?

कई अलग-अलग प्रकार के प्रमाणीकरण मौजूद हैं, जिनमें पासवर्ड, एसएमएस प्रमाणीकरण और यहां तक ​​कि शामिल हैं ऑथेंटिकेटर ऐप जिन्हें आप अपने फोन के साथ इस्तेमाल कर सकते हैं. एक कम सामान्य प्रकार हार्डवेयर प्रमाणीकरण है, जिसमें संकेत दिए जाने पर प्रमाणीकरण टोकन भेजने के लिए एक छोटे प्लग-इन डिवाइस का उपयोग करना शामिल है।

YubiKeys और अन्य हार्डवेयर ऑथेंटिकेशन डिवाइसेस के अन्य ऑथेंटिकेटर्स की तुलना में कुछ फायदे हैं। उनका उपयोग करना आसान है, अधिक सुरक्षित है, और स्वयं भौतिक YubiKey तक पहुंच के बिना समझौता करना लगभग असंभव है।

युबिकी के साथ शुरुआत करना

आप कुछ ही आसान चरणों में YubiKey के साथ शुरुआत कर सकते हैं। पहले चरण के रूप में, आपको द्वारा बनाई गई प्रश्नोत्तरी का उपयोग करना चाहिए यूबिको अपने डिवाइस विनिर्देशों के लिए सर्वश्रेष्ठ YubiKey खरीदने के लिए। एक बार जब आपके हाथ में आपकी YubiKey हो जाए, तो आप इसे वेबसाइटों और ऐप्स के लिए प्रमाणीकरण उपकरण के रूप में उपयोग कर सकते हैं।

आप इसका उपयोग अपने Linux कंप्यूटर पर sudo और SSH को प्रमाणित करने के लिए भी कर सकते हैं। हम एक सूडो/एसएसएच-संगत यूबीकी चुनने और प्रमाणीकरण के लिए इसे कॉन्फ़िगर करने के बारे में आपको जो कुछ जानने की जरूरत है, उसे समझाएंगे।

इमेज क्रेडिट: टोनी वेबस्टर/फ़्लिकर

अपने सिस्टम के लिए सही YubiKey चुनना

यदि आप अपने लिनक्स कंप्यूटर पर प्रमाणीकरण के लिए अपनी YubiKey का उपयोग करना चाहते हैं, तो कुछ YubiKeys हैं जो बेहतर विकल्प के रूप में सामने आती हैं। YubiKey 5 और YubiKey 5 NFC दोनों क्लासिक्स हैं जो क्रमशः USB-A और USB-C के साथ सिस्टम के साथ अच्छी तरह से काम करते हैं।

यदि आप अपनी YubiKey का उपयोग अपने Linux कंप्यूटर और Android फ़ोन के साथ करना चाहते हैं, तो आपको YubiKey 5c NFC पर विचार करना चाहिए। यदि आपके पास Linux कंप्यूटर और iPhone है, तो आपको YubiKey 5ci पर विचार करना चाहिए क्योंकि यह USB-C और लाइटनिंग को सपोर्ट करता है।

यह ध्यान रखना महत्वपूर्ण है कि यूबीएचएसएम सीरीज सुडो प्रमाणीकरण के साथ संगत नहीं है। लीगेसी YubiKeys अपनी विशिष्ट विशेषताओं के आधार पर sudo/SSH प्रमाणीकरण के साथ संगत हो भी सकती है और नहीं भी।

सूडो या एसएसएच प्रमाणीकरण से शुरू करने से पहले, आपको यूबीकी पीपीए स्थापित करना होगा। टर्मिनल खोलें और अपने पैकेज को अपडेट करने और YubiKey Authenticator और YubiKey Manager को स्थापित करने के लिए निम्नलिखित कमांड दर्ज करें:

सुडो एड-एपीटी-रिपॉजिटरी पीपीए: यूबिको / स्थिर
sudo apt-get update
sudo apt install yubikey-manager libpam-yubico libpam-u2f

अगला, आपको यह सत्यापित करने की आवश्यकता होगी कि आपका सिस्टम आपकी YubiKey के साथ काम करने के लिए तैयार है। अपने udev संस्करण की जाँच करने के लिए टर्मिनल में निम्न कमांड चलाएँ:

सुडो udevadm --version

टर्मिनल एक नंबर लौटाएगा। यदि संख्या 244 या अधिक है, तो आपका सिस्टम YubiKey के साथ संगत है। आप इस मामले में अगला कदम छोड़ सकते हैं।

अन्यथा, आपको अपने सिस्टम को कॉन्फ़िगर करने की आवश्यकता होगी। यह जांचने के लिए कि आपके कंप्यूटर पर udev स्थापित है या नहीं, आपको निम्न कमांड का उपयोग करना चाहिए - और यदि यह नहीं है तो इसे स्थापित करने के लिए:

dpkg -s libu2f-udev
sudo apt libu2f-udev स्थापित करें

अगला, जांचें कि क्या आपके YubiKey का U2F इंटरफ़ेस अनलॉक है। यदि आपके पास YubiKey NEO या YubiKey NEO-n है, तो अपनी YubiKey डालें, YubiKey प्रबंधक खोलें और नेविगेट करें इंटरफेस. सक्षम करें U2F इंटरफ़ेस और दबाएं बचाना.

Linux पर sudo प्रमाणीकरण के लिए YubiKey सेट अप करें

Linux वातावरण में sudo सबसे खतरनाक कमांड में से एक है। सही हाथों में, यह एक प्रभावशाली स्तर की पहुँच प्रदान करता है जो अधिकांश कार्य करने के लिए पर्याप्त है। गलत हाथों में, सुडो द्वारा प्रदान की जाने वाली रूट-स्तरीय पहुंच दुर्भावनापूर्ण उपयोगकर्ताओं को सिस्टम का शोषण या नष्ट करने की अनुमति दे सकती है।

YubiKeys sudo प्रमाणीकरण के लिए उत्कृष्ट हैं क्योंकि उनका प्रमाणीकरण स्वयं YubiKey तक पहुंच के बिना दोहराना लगभग असंभव है। अधिकांश YubiKeys sudo प्रमाणीकरण के साथ संगत हैं, जिनमें 5 FIPs सीरीज़, की सीरीज़, 4 FIPs सीरीज़, बायो सीरीज़, 5 सीरीज़ और 4 सीरीज़ शामिल हैं।

के अनुसार यूबिको, sudo प्रमाणीकरण को कॉन्फ़िगर करने के लिए आपको जो पहला कदम उठाने की आवश्यकता है, वह एक नियम फ़ाइल बना रहा है। यदि आपका udev संस्करण 188 या उच्चतर है, तो से नए U2F नियम स्थापित करें GitHub और कॉपी करें 70-u2f.नियम फाइल करने के लिए /etc/udev/rules.d.

यदि आपका udev संस्करण 188 से कम है, तो लीगेसी U2F नियम स्थापित करें GitHub और कॉपी करें 70-पुराना-u2f.नियम फाइल करने के लिए /etc/udev/rules.d.

यदि आपका udev संस्करण 244 या उच्चतर है या आपने आवश्यक नियम फ़ाइलें बनाई हैं, तो आप अपने YubiKey को अपने खाते से लिंक करने के लिए तैयार हैं।

अपने कंप्यूटर में YubiKey डालें, टर्मिनल खोलें, और अपने YubiKey को अपने अकाउंट से लिंक करने के लिए निम्नलिखित कमांड दर्ज करें:

mkdir -p ~/.config/Yubicopamu2fcfg > ~/.config/Yubico/u2f_keys

कुछ पलों तक प्रतीक्षा करें जब तक कि आपकी YubiKey की संकेतक लाइट चमकने न लगे। डिवाइस लिंक की पुष्टि करने के लिए अपने YubiKey पर बटन को स्पर्श करें।

यदि आपके पास एक और YubiKey है, तो आपको निम्न आदेश दर्ज करके और उसी प्रक्रिया को पूरा करके इसे बैकअप डिवाइस के रूप में जोड़ना चाहिए:

pamu2fcfg -n >> ~/.config/Yubico/u2f_keys

अंत में, आपको YubiKey प्रमाणीकरण की आवश्यकता के लिए sudo कमांड को कॉन्फ़िगर करना होगा। सुडो कॉन्फ़िगरेशन फ़ाइल खोलने के लिए आपको निम्न आदेश दर्ज करके प्रारंभ करना चाहिए:

सुडो vi /etc/pam.d/sudo

कॉन्फ़िगरेशन फ़ाइल खुलने के बाद, निम्न पंक्ति को ठीक नीचे पेस्ट करें @include आम-प्रमाणीकरण YubiKey प्रमाणीकरण की आवश्यकता के लिए सुडो को कॉन्फ़िगर करने के लिए लाइन:

प्रमाणीकरण आवश्यक pam_u2f.so

फ़ाइल को सहेजें और दबाकर बाहर निकलें पलायन, टाइपिंग :wq, और दबाना प्रवेश करना, लेकिन टर्मिनल को खुला रखें। यदि टर्मिनल बंद हो जाता है तो आप सुडो प्रमाणीकरण में किए गए परिवर्तनों को उलट नहीं पाएंगे।

दूसरा टर्मिनल खोलें और अपने YubiKey को अनप्लग करके निम्न कमांड चलाएँ, फिर अपना पासवर्ड दर्ज करें:

सुडो गूंज परीक्षण

प्रमाणीकरण प्रक्रिया विफल हो जाएगी। अपनी YubiKey डालें और आदेश और अपना पासवर्ड पुनः दर्ज करें। जब YubiKey इंडिकेटर लाइट चमकने लगे, तो अपने YubiKey पर बटन को स्पर्श करें। इसे कमांड को प्रमाणित करना चाहिए। यदि ऐसा होता है, तो आपकी YubiKey सूडो प्रमाणीकरण के लिए पूरी तरह से तैयार है।

इमेज क्रेडिट: हकन डाहलस्ट्रॉम/फ़्लिकर

SSH प्रमाणीकरण के लिए YubiKey कैसे सेट करें

आप SSH प्रमाणीकरण के लिए भी अपनी YubiKey का उपयोग कर सकते हैं! कई YubiKey सीरीज़ SSH के अनुकूल हैं, जिनमें 5 FIPS सीरीज़, 5 सीरीज़, 4 FIPS सीरीज़ और 4 सीरीज़ शामिल हैं। अपने कनेक्शन को प्रमाणित करने के लिए YubiKey का उपयोग करने से आपको इसकी अनुमति मिल जाएगी प्रत्येक SSH लॉगिन को और अधिक सुरक्षित बनाएं.

YubiKey को स्थापित करने की सबसे अच्छी विधि को एक अनुभवी उपयोगकर्ता द्वारा रेखांकित किया गया था GitHub. आपको फर्मवेयर 5.2.3 या नए के साथ SSH 8.2 या नए और एक YubiKey की आवश्यकता होगी। आप अपने ओपनएसएसएच संस्करण की जांच कर सकते हैं- और यदि आवश्यक हो तो इसे अपडेट कर सकते हैं-निम्न आदेशों के साथ:

एसएसएच -वी
सुडो एपीटी अपडेट और सुडो एपीटी अपग्रेड

इसके बाद, आपको अपने YubiKey को स्वीकार करने के लिए SSH को कॉन्फ़िगर करना होगा। करने के लिए निम्न आदेश दर्ज करें vi संपादक खोलें और कॉन्फ़िगरेशन फ़ाइल संपादित करें:

सुडो vi /etc/ssh/sshd_config

कॉन्फ़िगरेशन फ़ाइल में निम्न पंक्ति जोड़ें ताकि आपकी YubiKey स्वीकार की जा सके:

PubkeyAcceptedKeyTypes [email protected], [email protected]

फ़ाइल को सहेजें और दबाकर बाहर निकलें पलायन, टाइपिंग :wq, और मार रहा है प्रवेश करना. अंत में, SSH सेवा को निम्न आदेश के साथ पुनरारंभ करें ताकि आपका नया कॉन्फ़िगरेशन सक्रिय हो जाए:

सुडो सेवा एसएसएच पुनरारंभ करें

अंत में, आप एसएसएच प्रमाणीकरण के लिए उपयोग की जाने वाली कुंजी जोड़ी बनाने के लिए तैयार हैं। SSH निर्देशिका पर नेविगेट करें और निम्न आदेशों के साथ अपनी नई SSH कुंजी बनाएँ:

सीडी होम/यूजरनेम/.ssh
ssh-keygen -t ed25519-sk

में दो फाइलें बनाई जाएंगी ~/.ssh/ निर्देशिका। ध्यान दें कि आपको उपयोग करने की आवश्यकता हो सकती है ecdsa-sk के बजाय ed25519-sk यदि आपका सिस्टम असंगत है और टर्मिनल संकेत देता है कि कुंजी नामांकन विफल हो गया है।

इसके बाद, आपको निम्न आदेश के साथ अपने सर्वर पर सार्वजनिक कुंजी जोड़ने की आवश्यकता होगी:

ssh-कॉपी-आईडी-मैं ~/.ssh/id_ed25519_sk.pub उपयोगकर्ता नाम @ सर्वर

आपको अपने आप को सूडोर्स फ़ाइल में भी जोड़ना चाहिए ताकि आप रूट लॉगिन को अक्षम करने के बाद अनुमतियाँ बनाए रख सकें। फ़ाइल तक पहुँचें और इसे visudo के साथ खोलें।

सामान्य पाठ संपादक के साथ सूडोर्स फ़ाइल न खोलें।

पढ़ने वाली रेखा के नीचे रूट ALL=(ALL: ALL) ALL, निम्न पंक्ति जोड़ें:

उपयोगकर्ता नाम ALL=(ALL: ALL) ALL

खोलें /etc/ssh/ssd_config फ़ाइल और रूट लॉगिन और पासवर्ड-आधारित लॉगिन को निष्क्रिय करने के लिए निम्नलिखित पंक्तियाँ जोड़ें:

चैलेंज रिस्पांस ऑथेंटिकेशन नो परमिट रूट लॉग इन नंबर

अंत में, सत्र की अवधि के लिए अपने एसएसएच एजेंट में अपनी कुंजी लोड करने के लिए निम्नलिखित आदेश दर्ज करें:

ssh-add ~/.ssh/id_ed25519_sk

अब आप SSH प्रमाणीकरण के लिए अपने YubiKey का उपयोग कर सकते हैं। संकेत मिलने पर आपको अपनी YubiKey को अपने कंप्यूटर में डालना होगा और संकेतक चमकने पर बटन को टैप करना होगा। इस नई प्रमाणीकरण पद्धति के साथ, आपके दूरस्थ सर्वर तक SSH की पहुंच उल्लेखनीय रूप से अधिक सुरक्षित हो जाएगी।

YubiKey के अन्य संभावित उपयोग

आप अपने Linux सिस्टम पर YubiKey का उपयोग कैसे कर सकते हैं, इसकी कोई वास्तविक सीमा नहीं है। यदि आप अपने पीसी को अतिरिक्त सुरक्षित बनाना चाहते हैं, तो डिस्क या पासवर्ड-मुक्त एन्क्रिप्शन के लिए अपने YubiKey का उपयोग करने पर विचार करें। आप चाहें तो ईमेल और फाइलों पर हस्ताक्षर करने के लिए भी इसका इस्तेमाल कर सकते हैं।

YubiKey के साथ अपने Linux सिस्टम को सुरक्षित करें

आपको SSH और sudo प्रमाणीकरण के लिए केवल अपने YubiKey का उपयोग करने पर ही रुकना नहीं है। आप अपने YubiKey का उपयोग पूरे वेब पर अपने कई खातों तक पहुंच को प्रमाणित करने के लिए भी कर सकते हैं। सबसे अच्छी बात यह है कि YubiKey 2FA के साथ शुरुआत करना एक सरल प्रक्रिया है।