是否有任何机制可以通过 SSH 转发对 U2F/FIDO 安全密钥(例如 Yubikey)的访问?我希望能够使用本地安全密钥来授权远程主机上的 sudo 访问。
我尝试在 Fedora 36 中使用 FIDO2 (YubiKey 5) 在系统启动时解锁 LUKS 卷,但没有成功,因为它不断要求提供常规 LUKS 密码,而不使用令牌来解锁 LUKS 卷。
我按照Lennart Poettering在他的博客上的示例,systemd-cryptenroll注册了 YubiKey,然后/etc/crypttab使用适当的配置修改了文件。cryptsetup luksDump显示令牌已添加到 LUKS 标头中。然而,在系统启动时,会显示 Plymouth 启动屏幕,提示输入常规 LUKS 密码来解锁卷。
我认为 Plymouth 可能不会显示输入 FIDO2 PIN 的提示,因此我删除并重新添加了 LUKS 键槽和带有额外参数的令牌,以便不需要用户存在或 PIN:
systemd-cryptenroll --fido2-device=auto --fido2-with-user-verification=false --fido2-with-client-pin=false /dev/sda3
这仍然不起作用,并且仍然提示输入 LUKS 密码。
Fedora 36 正在运行 systemd 版本 250。
知道为什么 FIDO2 无法解锁 LUKS 卷吗?
我可以在没有 Fido U2F 的情况下设置 SSH 密钥对,如所描述的SSH 代理在许多服务器上工作而无需重新键入?一些旗帜?在线程中。两步验证会非常好:私钥密码和 Fido U2F 验证也是如此。我不确定我们是否也需要 Fido/YubiKey 服务器,如线程Yubico Linux Login 中所述。我的动机是我经常忘记我的密码,如果在一步验证中使用这些密码很长。密码多长多难,一步验证本身也很弱。因此,我想在我的 Debian 中使用密钥进行两步验证,因为我认为密钥可以提高很多安全性。
门票发送给 YubiKey团队2017 年 2 月 22 日
Dear Sir/Madam,
We are thinking how to get 2-step verification with your key and keys in the following thread. Improvements are needed in FIDO U2F and OpenSSH parts. I am thinking how we can push the thing forward with You. Please, say what we can do because the feature request …