ATodos los servidores Linux y Unix se administran manualmente o mediante herramientas automatizadas como Ansible mediante ssh. Por ejemplo, suponga que tiene un servidor en Linode o AWS. Luego, copie su clave ssh pública en el servidor de la nube remota. Una vez copiado, ahora puede iniciar sesión en estos servidores sin una contraseña, siempre que coincidan las claves ssh. Esta es la mejor práctica. Desafortunadamente, no protege las claves ssh almacenadas en su escritorio local o máquina de desarrollo en el directorio $HOME/.ssh/. Si le roban su clave, el atacante puede obtener acceso a todos sus servidores en la nube, incluidos los servidores de respaldo. Para evitar esta confusión, podemos usar una clave de seguridad física como YubiKey para proteger nuestras claves ssh almacenadas localmente en nuestras máquinas de escritorio/desarrollo.
En ambos casos, deberá insertar su YubiKey (o cualquier llave de hardware compatible con FIDO2) en un puerto USB y completar la autenticación. En otras palabras, cuando el malware o los atacantes roban su contraseña y clave ssh, el inicio de sesión ssh no funcionará porque no pueden insertar la YubiKey y presionar el botón para completar la OTP de la clave ssh.
En un entorno empresarial, tenemos un host bastión Permite el acceso ssh usando Yubikey. Es un servidor dedicado en la red que está especialmente diseñado y configurado para resistir ataques. El servidor generalmente aloja un proceso sshd y todos los demás servicios se eliminan. Después de iniciar sesión en el host bastión, puede acceder fácilmente a todos los demás servidores en la nube.
¿Como esto? sudo share_on: Gorjeo – Facebook – LinkedIn – WeChat – Reddit
La publicación Cómo configurar claves SSH para autenticación de dos factores (U2F/FIDO2) usando una YubiKey apareció primero en nixCraft.
