介紹

今天，F(xiàn)edora 提供了多種方式來(lái)提高我們賬戶(hù)的身份認(rèn)證的安全性。當(dāng)然，它有我們熟悉的用戶(hù)名密碼登錄方式，它也同樣提供了其他的身份認(rèn)證選項(xiàng)，比如生物識(shí)別、指紋、智能卡、一次性密碼，甚至是詢(xún)問(wèn)-響應(yīng)challenge-response身份認(rèn)證。

每種認(rèn)證方式都有明確的優(yōu)缺點(diǎn)。這點(diǎn)本身就可以成為一篇相當(dāng)冗長(zhǎng)的文章的主題。Fedora 雜志之前就已經(jīng)介紹過(guò)了這其中的一些選項(xiàng)：

• 在 Fedora 中使用 YubiKey4
• Fedora 28：在 OpenSSH 中更好的支持智能卡

在現(xiàn)在的 Fedora 版本中，最安全的方法之一就是離線(xiàn)硬件詢(xún)問(wèn)-響應(yīng)。它也同樣是最容易部署的方法之一。下面是具體方法。

詢(xún)問(wèn)-響應(yīng)認(rèn)證

從技術(shù)上來(lái)講，當(dāng)你輸入密碼的時(shí)候，你就正在響應(yīng)用戶(hù)名詢(xún)問(wèn)。離線(xiàn)的詢(xún)問(wèn)、響應(yīng)包含了這些部分：首先是需要你的用戶(hù)名，接下來(lái)，F(xiàn)edora 會(huì)要你提供一個(gè)加密的物理硬件的令牌。令牌會(huì)把另一個(gè)其存儲(chǔ)的加密密鑰通過(guò)可插入式身份認(rèn)證Pluggable Authentication Module模塊（PAM）框架來(lái)響應(yīng)詢(xún)問(wèn)。最后，F(xiàn)edora 才會(huì)提示你輸入密碼。這可以防止其他人僅僅使用了找到的硬件令牌，或是只使用了賬戶(hù)名密碼而沒(méi)有正確的加密密鑰。

這意味著除了你的賬戶(hù)名密碼之外，你必須事先在你的操作系統(tǒng)中注冊(cè)了一個(gè)或多個(gè)加密硬件令牌。你必須保證你的物理硬件令牌能夠匹配你的用戶(hù)名。

一些詢(xún)問(wèn)-響應(yīng)的方法，比如一次性密碼（OTP），在硬件令牌上獲取加密的代碼密鑰，然后將這個(gè)密鑰通過(guò)網(wǎng)絡(luò)傳輸?shù)竭h(yuǎn)程身份認(rèn)證服務(wù)器。然后這個(gè)服務(wù)器會(huì)告訴 Fedora 的 PAM 框架，這是否是該用戶(hù)的一個(gè)有效令牌。如果身份認(rèn)證服務(wù)器在本地網(wǎng)絡(luò)上，這個(gè)方法非常好。但它的缺點(diǎn)是如果網(wǎng)絡(luò)連接斷開(kāi)或是你在沒(méi)有網(wǎng)的遠(yuǎn)程端工作。你會(huì)被鎖在系統(tǒng)之外，直到你能通過(guò)網(wǎng)絡(luò)連接到身份認(rèn)證服務(wù)器。

有時(shí)候，生產(chǎn)環(huán)境會(huì)采用通過(guò) Yubikey 使用一次性密碼（OTP）的設(shè)置，然而，在家庭或個(gè)人的系統(tǒng)上，你可能更喜歡詢(xún)問(wèn)-響應(yīng)設(shè)置。一切都是本地的，這種方法不需要通過(guò)遠(yuǎn)程網(wǎng)絡(luò)調(diào)用。下面這些過(guò)程適用于 Fedora 27、28 和 29.

準(zhǔn)備

硬件令牌密鑰

首先，你需要一個(gè)安全的硬件令牌密鑰。具體來(lái)說(shuō)，這個(gè)過(guò)程需要一個(gè) Yubikey 4、Yubikey NEO，或者是最近發(fā)布的、同樣支持 FIDO2 的 Yubikey 5 系列設(shè)備。你應(yīng)該購(gòu)買(mǎi)它們中的兩個(gè)，一個(gè)做備份，以避免其中一個(gè)丟失或遭到損壞。你可以在不同的工作地點(diǎn)使用這些密鑰。較為簡(jiǎn)單的 FIDO 和 FIDO U2F 版本不適用于這個(gè)過(guò)程，但是非常適合使用 FIDO 的在線(xiàn)服務(wù)。

備份、備份，以及備份

接下來(lái)，為你所有的重要數(shù)據(jù)制作備份，你可能想在克隆在 VM 里的 Fedora 27/28/29 里測(cè)試配置，來(lái)確保你在設(shè)置你自己的個(gè)人工作環(huán)境之前理解這個(gè)過(guò)程。

升級(jí)，然后安裝

現(xiàn)在，確定你的 Fedora 是最新的，然后通過(guò) dnf 命令安裝所需要的 Fedora Yubikey 包。

$ sudo dnf upgrade
$ sudo dnf install ykclient* ykpers* pam_yubico*

如果你使用的是 VM 環(huán)境，例如 Virtual Box，確保 Yubikey 設(shè)備已經(jīng)插進(jìn)了 USB 口，然后允許 VM 控制的 USB 訪(fǎng)問(wèn) Yubikey。

配置 Yubikey

確認(rèn)你的賬戶(hù)訪(fǎng)問(wèn)到了 USB Yubikey：

$ ykinfo -v
version: 3.5.0

如果 Yubikey 沒(méi)有被檢測(cè)到，會(huì)出現(xiàn)下面這些錯(cuò)誤信息：

Yubikey core error: no yubikey present

接下來(lái)，通過(guò)下面這些 ykpersonalize 命令初始化你每個(gè)新的 Yubikey。這將設(shè)置 Yubikey 配置插槽 2 使用 HMAC-SHA1 算法（即使少于 64 個(gè)字符）進(jìn)行詢(xún)問(wèn)響應(yīng)。如果你已經(jīng)為詢(xún)問(wèn)響應(yīng)設(shè)置好了你的 Yubikey。你就不需要再次運(yùn)行 ykpersonalize 了。

ykpersonalize -2 -ochal-resp -ochal-hmac -ohmac-lt64 -oserial-api-visible

一些用戶(hù)在使用的時(shí)候?qū)?YubiKey 留在了他們的工作站上，甚至用于對(duì)虛擬機(jī)進(jìn)行詢(xún)問(wèn)-響應(yīng)。然而，為了更好的安全性，你可能會(huì)更愿意使用手動(dòng)觸發(fā) YubiKey 來(lái)響應(yīng)詢(xún)問(wèn)。

要添加手動(dòng)詢(xún)問(wèn)按鈕觸發(fā)器，請(qǐng)?zhí)砑?nbsp;-ochal-btn-trig 選項(xiàng)，這個(gè)選項(xiàng)可以使得 Yubikey 在請(qǐng)求中閃爍其 LED。等待你在 15 秒內(nèi)按下硬件密鑰區(qū)域上的按鈕來(lái)生成響應(yīng)密鑰。

$ ykpersonalize -2 -ochal-resp -ochal-hmac -ohmac-lt64 -ochal-btn-trig -oserial-api-visible

為你的每個(gè)新的硬件密鑰執(zhí)行此操作。每個(gè)密鑰執(zhí)行一次。完成編程之后，使用下面的命令將 Yubikey 配置存儲(chǔ)到 ~/.yubico：

$ ykpamcfg -2 -v
debug: util.c:222 (check_firmware_version): YubiKey Firmware version: 4.3.4
 
Sending 63 bytes HMAC challenge to slot 2
Sending 63 bytes HMAC challenge to slot 2
Stored initial challenge and expected response in '/home/chuckfinley/.yubico/challenge-9992567'.

如果你要設(shè)置多個(gè)密鑰用于備份，請(qǐng)將所有的密鑰設(shè)置為相同，然后使用 ykpamcfg 工具存儲(chǔ)每個(gè)密鑰的詢(xún)問(wèn)-響應(yīng)。如果你在一個(gè)已經(jīng)存在的注冊(cè)密鑰上運(yùn)行 ykpersonalize 命令，你就必須再次存儲(chǔ)配置信息。

配置 /etc/pam.d/sudo

現(xiàn)在要去驗(yàn)證配置是否有效，在同一個(gè)終端窗口中，你需要設(shè)置 sudo 來(lái)要求使用 Yubikey 的詢(xún)問(wèn)-響應(yīng)。將下面這幾行插入到 /etc/pam.d/sudo 文件中。

auth required pam_yubico.so mode=challenge-response

將上面的 auth 行插入到文件中的 auth include system-auth 行的上面，然后保存并退出編輯器。在默認(rèn)的 Fedora 29 設(shè)置中，/etc/pam.d/sudo 應(yīng)該像下面這樣：

#%PAM-1.0
auth required pam_yubico.so mode=challenge-response
auth include system-auth
account include system-auth
password include system-auth
session optional pam_keyinit.so revoke
session required pam_limits.so
session include system-auth

保持這個(gè)初始的終端窗口打開(kāi)，然后打開(kāi)一個(gè)新的終端窗口進(jìn)行測(cè)試，在新的終端窗口中輸入：

$ sudo echo testing

你應(yīng)該注意到了 Yubikey 上的 LED 在閃爍。點(diǎn)擊 Yubikey 按鈕，你應(yīng)該會(huì)看見(jiàn)一個(gè)輸入 sudo 密碼的提示。在你輸入你的密碼之后，你應(yīng)該會(huì)在終端屏幕上看見(jiàn) “testing” 的字樣。

現(xiàn)在去測(cè)試確保失敗也正常，啟動(dòng)另一個(gè)終端窗口，并從 USB 插口中拔掉 Yubikey。使用下面這條命令驗(yàn)證，在沒(méi)有 Yubikey 的情況下，sudo 是否會(huì)不再正常工作。

$ sudo echo testing fail

你應(yīng)該立刻被提示輸入 sudo 密碼，但即使你輸入了正確密碼，登錄也應(yīng)該失敗。

設(shè)置 Gnome 桌面管理器（GDM）

一旦你的測(cè)試完成后，你就可以為圖形登錄添加詢(xún)問(wèn)-響應(yīng)支持了。將你的 Yubikey 再次插入進(jìn) USB 插口中。然后將下面這幾行添加到 /etc/pam.d/gdm-password 文件中：

auth required pam_yubico.so mode=challenge-response

打開(kāi)一個(gè)終端窗口，然后運(yùn)行下面這些命令。如果需要，你可以使用其他的編輯器：

$ sudo vi /etc/pam.d/gdm-password

你應(yīng)該看到 Yubikey 上的 LED 在閃爍，按下 Yubikey 按鈕，然后在提示符處輸入密碼。

修改 /etc/pam.d/gdm-password 文件，在已有的 auth substack password-auth 行上添加新的行。這個(gè)文件的頂部應(yīng)該像下面這樣：

auth [success=done ignore=ignore default=bad] pam_selinux_permit.so
auth required pam_yubico.so mode=challenge-response
auth substack password-auth
auth optional pam_gnome_keyring.so
auth include postlogin
 
account required pam_nologin.so

保存更改并退出編輯器，如果你使用的是 vi，輸入鍵是按 Esc 鍵，然后在提示符處輸入 wq! 來(lái)保存并退出。

結(jié)論

現(xiàn)在注銷(xiāo) GNOME。將 Yubikey 插入到 USB 口，在圖形登錄界面上點(diǎn)擊你的用戶(hù)名。Yubikey LED 會(huì)開(kāi)始閃爍。觸摸那個(gè)按鈕，你會(huì)被提示輸入你的密碼。

如果你丟失了 Yubikey，除了重置密碼之外，你還可以使用備份的 Yubikey。你還可以給你的賬戶(hù)增加額外的 Yubikey 配置。

如果有其他人獲得了你的密碼，他們?cè)跊](méi)有你的物理硬件 Yubikey 的情況下，仍然不能登錄。恭喜！你已經(jīng)顯著提高了你的工作環(huán)境登錄的安全性了。