Easily Using SSH with FIDO2/U2F Hardware Security Keys
a year ago
- #SSH
- #FIDO2
- #Security
- 新型硬件安全密钥(Yubikey、Nitrokey、Titan)支持FIDO2协议,使SSH认证更便捷安全
- FIDO2密钥通过确保私钥永不暴露且需物理触碰认证,显著提升SSH安全性
- 非驻留密钥仅在电脑存储密钥句柄,实际私钥经加密后仅安全密钥可访问
- 使用`ssh-keygen -t ed25519-sk`或`ecdsa-sk`生成密钥对时,需触碰安全密钥才能使用
- 配合安全密钥使用时,SSH代理转发更安全,攻击者无法在没有物理接触密钥的情况下使用转发的凭据
- 可通过为每个密钥生成独立密钥对,并将所有公钥添加至`authorized_keys`文件,实现单主机配多把安全密钥
- 驻留密钥将密钥句柄存储在安全密钥上,但会降低安全性,若无额外PIN保护不建议使用
- 为安全密钥设置FIDO2 PIN码可增加安全层,对驻留密钥尤为重要
- 通过将安全密钥的公钥添加至root用户的`authorized_keys`文件,可实现远程sudo权限管理
- 排障建议:若密钥被锁定可尝试拔插重置,使用`ssh -v`命令进行调试