YUBIKEYS & SSH - Quelle option est la meilleure pour le verrouillage?
Ma société a quelques dizaines de serveurs hébergés sur un fournisseur de cloud. Tout sauf un (OpenVPN Host) est fermé sur Internet. Nous utilisons OpenVPN comme utilisé CERTS + Authenticateur Google pour la connexion.
Nous sommes très intéressés par la sécurité et nous voulons minimiser les dommages potentiels en cas d'infiltration d'un ordinateur de nos employés. À cette fin, nous avons chargé des employés de verrouiller leurs machines personnelles via Yubico-Pam.
Je veux aussi utiliser les yubikeys pour l'accès SSH. Maintenant, le Neo prend en charge les touches SSH/GPG via son support JavaCard. J'aime cette option car elle ne nécessite aucune modification importante de l'un de nos serveurs existants, juste leur authorized_keys des dossiers.
J'ai également vu l'intégration de Yubico-Pam via un mot de passe (mot de passe de type, touchez YUBIKEY). C'est bien mais nous n'utilisons pas de mots de passe, nous utilisons des keyfiles, et à moins qu'il y ait eu une raison de sécurité convaincante de basculer, je préfère le garder comme ça.
La troisième option que j'ai vue est AuthenticationMethods dans les dernières versions de sshd ( plus ici ). Cela vous permet correctement d'utiliser un keypair et le YUBIKEY. Lors de la connexion avec une clé correcte, l'utilisateur est invité à appuyer sur le bouton de leur Yubikey. Malheureusement, il semble que le serveur a besoin de ping yubicloud.
Dans les deux cas, je construirais et interrogera probablement un serveur LDAP pour YUBIKEY ATH afin que nous puissions facilement révoquer/ajouter des clés sans avoir à SSH dans chaque machine.
À mon avis, la première option est la meilleure (générer des clés sur le YUBIKEY NEO), car elle nécessite la configuration la plus minimale de nos serveurs, ne s'appuie pas sur le service Yubicloud pour empêcher la rejoue et ne nécessiterait pas de serveur LDAP. .
Avez-vous un de vous intégré YUBIKEYS (ou d'autres jetons matériels) dans votre flux d'administration? Si oui, quelle méthode avez-vous choisie et pourquoi l'avez-vous choisie?
YUBIKEYY peut être en nuage avec YUBI fournissant la réponse "oui/non" ou vous pouvez l'exécuter localement. Courir localement et bénéficier de l'OTP.