配置sshd_使用CA簽名證書登錄_更新sshd服務端的通訊密鑰

配置sshd_使用CA簽名證書登錄_更新sshd服務端的通訊密鑰

轉載注明來源: 本文鏈接 來自osnosn的博客，寫于 2022-11-06.

用CA簽名證書登錄

• 請參考【SSH 證書登錄教程】,這個舊了，
• 參考:【Creating SSH CA Certificate Signing Keys】,這是基于openSSH-5.3p1
• 【SSH 證書登錄教程】
• 【基于CA簽名的用戶公鑰管理】,【基于CA簽名的用戶公鑰管理】
• 【證書登錄的流程】
• 【Linux 采用 SSH CA 登陸驗證】
• putty-0.77 還不支持這種認證，putty-0.78 開始支持CA簽名證書認證，
• winscp-5.21.5 還不支持這種認證，下一個版本可能會支持，

ssh登錄程序中，基于簽名(證書)的用戶認證

• 基于 openSSH-8.0p1 , 測驗成功，

• 創建 用于簽發用戶證書的密鑰(用戶CA)，管理員創建，私鑰不傳遞，
  ssh-keygen -t ed25519 -C user_ca@myCA -f user_ca，
  得到兩個檔案，user_ca , user_ca.pub，
  只是密鑰對，不是證書，因為沒做自簽名證書，

• 讓sshd服務端信任"用戶CA"的公鑰，(方法一,用戶級)
  建議限制 principals，如果多個服務器信任同一個CA，只要每個服務器上的 principals 都不同，
  就能做到，用同一個CA簽發的用戶證書，能登錄其中一個服務器，而不能登錄別的服務器，
  在sshd服務器上，用戶的 ~/.ssh/authorized_keys 中加入一行(用戶CA的公鑰)，此檔案權限mode要求是0600，
  cert-authority,principals="host02,allhost" ssh-ed25519 AAAAC.....xx user_ca@myCA
  內容為 user_ca.pub 檔案的內容，
  如果用戶證書包含 host02 或 allhost 才能登錄(此種情況不判斷用戶名)，
  每個想用證書登錄的用戶的 ~/.ssh/authorized_keys 都要加一行，

  • 不做限制，在sshd服務器上，用戶的 ~/.ssh/authorized_keys 中加入一行(用戶CA的公鑰)，
    cert-authority ssh-ed25519 AAAAC.....xx user_ca@myCA
    如果用戶證書沒有principals，可以登錄
    如果用戶證書有principals，必須包含用戶名 才能登錄，

• 讓sshd服務端信任"用戶CA"的公鑰，(方法二,全域系統級)
  在sshd服務器上，在 /etc/ssh/sshd_config 中加入一行:
  TrustedUserCAKeys /etc/ssh/user_ca_list.pub ,
  重啟 sshd 服務生效, service sshd restart，
  這種配置，用戶證書必須有principals，且包含用戶名才能登錄，
  user_ca_list.pub 可以多行，CA公鑰檔案user_ca.pub的內容占其中一行，檔案權限mode可以是0600或0644，
  例如: ssh-ed25519 AAAAC.....xx Comment

  • 靜態限制 principals
    在sshd服務器上，創建 principals 目錄 mkdir /etc/ssh/principals，此目錄權限mode要求是0755，
    然后在 /etc/ssh/sshd_config 中再加入一行，重啟 sshd 服務，
    AuthorizedPrincipalsFile /etc/ssh/principals/%u ，
    之后再次修改 user_ca_list.pub 和 /etc/ssh/principals/ 中的檔案，無需重啟sshd即生效，

    • AuthorizedPrincipalsFile，只能配置一個路徑，不支持多個路徑，
    • 根據不同的用戶名, 限制 principals, 比如 /etc/ssh/principals/root 檔案:
      一行一個 principal，檔案權限mode必須是0644，

      ## 注釋:/etc/ssh/principals/root檔案內容
      principl_01
      principl_02
      

    • 用戶證書包含任意一個 principal 才能登錄，這種情況不匹配用戶名，用戶證書的principals包含"用戶名"無用，
    • 如果對應用戶的檔案不存在或為空，用戶證書無論包含什么princpals,或者無principal,都不能登錄，

  • 動態限制 principals
    在sshd服務器上， /etc/ssh/sshd_config 中再加入兩行:
    AuthorizedPrincipalsCommand /etc/ssh/princ.sh %u %U %s %i ,
    AuthorizedPrincipalsCommandUser root , (或指定一個別的用戶身份)
    重啟 sshd 服務生效, service sshd restart，

    #!/bin/sh
    # 例子 /etc/ssh/princ.sh 檔案, 權限mode是 0755，owner,group 都是 root
    # 傳入四個引數 $1=username，$2=user ID, $3=證書的serial num, $4=證書的key ID
    # 例子中, $3 $4 沒有使用
    # 因 OpenSSH 權限提升漏洞 (CVE-2021-41617), 此程式只能由管理員撰寫，不應該開放給用戶修改，
    
    host=myhost02
    
    buf="$host-$1"
    buf2=$(echo "$buf" |/bin/shasum -)
    buf2=${buf2%% *-}
    echo "$buf2"
    if [ "$2" -eq 0 ]; then
       echo "$host-root"
       echo "allhost-root"
    else
       echo "$buf"
       echo "allhost-user"
    fi
    

  • AuthorizedPrincipalsCommandUser abc 指定程式以 abc 用戶身份執行，
    可以接受 "%u" 表示以登錄的身份執行, 但不建議，

  • 另一個例子，也可以通過webserver查詢principals，
    AuthorizedPrincipalsCommand /bin/curl -s http://localhost/sshprincipals?user=%u&serial=%s&id=%i

  • 任何用戶登錄，使用的用戶證書，簽名的CA在TrustedUserCAKeys串列中，
    sshd 都會先檢查 AuthorizedPrincipalsFile 中的 principals，
    如果找不到，才會執行 AuthorizedPrincipalsCommand 程式，
    如果程式的輸出中，也沒有找到匹配的 principals，則認證失敗，

  • 任何用戶登錄，使用的用戶證書，簽名的CA不在TrustedUserCAKeys串列中，
    sshd不使用AuthorizedPrincipalsFile,AuthorizedPrincipalsCommand中的principals，

  • 用戶證書的簽名CA通過TrustedUserCAKeys認證的，都必須有principals，
    無principals的用戶證書，不能登錄，即使sshd服務端的principals為空，也不能登錄，

  • 有AuthorizedPrincipalsFile或AuthorizedPrincipalsCommand配置時,
    這種情況不匹配用戶名，用戶證書的principals包含"用戶名"無用，

• 只要是用這個密鑰(用戶CA)簽名過的用戶公鑰，滿足 principals 要求，就能登錄此sshd服務器的相應用戶，

• 創建用戶密鑰，用戶自己創建，私鑰不傳遞，
  ssh-keygen -t ed25519 -C user@myhost -f users_key
  得到兩個檔案，users_key , users_key.pub，

• 用 user_ca (私鑰)對用戶密鑰的公鑰簽名，得到一個用戶證書，
  只把用戶公鑰發給管理員簽名即可，只須要有"users_key.pub"公鑰檔案，無需用戶的私鑰檔案，
  ssh-keygen -s user_ca -I ident -n user1,principal_02 -V -10m:+90d users_key.pub
  得到一個檔案 users_key-cert.pub，發回給用戶，
  -n user1,principal_02 限制證書的用戶名 或principals，不限制就去掉這個引數，
  -V -1m:+10d 限制證書的時效，不限制就去掉這個引數，
  -O source-address=192.168.123.0/24,10.1.2.3 限制來源IP，
  -O force-command="date" 強制只執行某個命令，

• 查看已經簽名的用戶證書的內容，
  ssh-keygen -L -f users_key-cert.pub，

• 在ssh客戶端上，
  把兩個檔案放在一起 users_key , users_key-cert.pub，這個檔案沒用 users_key.pub，
  用命令 ssh user1@sshd服務器 -i users_key 就能夠登錄了，

• 創建或更新 KRL 檔案，然后把 KRL 檔案傳到sshd服務器上，或者直接在sshd服務器上創建或更新，
  創建 revoke 檔案,并把證書加入: ssh-keygen -k -f KRL_file key-cert.pub，
  更新 revoke 檔案,并把公鑰加入: ssh-keygen -ku -f KRL_file key.pub，
  更新 revoke 檔案,并把CA公鑰加入: ssh-keygen -ku -f KRL_file user_ca.pub，
  不僅能吊銷ca簽名證書，也可以吊銷普通密鑰的公鑰，

• 列出 KRL 檔案內容: ssh-keygen -Ql -f KRL_file，
  測驗 key-cert.pub 是否被 revoked : ssh-keygen -Q -f KRL_file key-cert.pub，

• KRL 檔案也可以是純文本的，不用 ssh-keygen 生成，格式同/etc/ssh/user_ca_list.pub,一行一個公鑰，
  例如: ssh-ed25519 AAAAC.....xx Comment
  可以是CA公鑰 user_ca.pub，也可以是普通密鑰的公鑰，也可以是用戶證書users_key-cert.pub的內容，

• 讓sshd服務器檢查 KRL 檔案，(KRL檔案,純文本或者二進制格式,都支持)
  在sshd服務器上, /etc/ssh/sshd_config 中加入一行 RevokedKeys /path_to/KRL_file ,
  重啟 sshd 服務生效, service sshd restart，
  /path_to/KRL_file 檔案的權限mode可以是 0600 或 0644，
  之后再次修改 KRL 檔案，無需重啟sshd，

• sshd服務器會最先檢查 KRL 檔案，
  即，會吊銷在 TrustedUserCAKeys,AuthorizedKeysFile,AuthorizedKeysCommand中的公鑰，

• 區別:

  • 用戶證書認證, 可以限制登錄用戶名 或principals, 可以設定有效期, 可以限制來源IP，
  • 密鑰認證, 無這些功能，

公鑰的動態認證

• 在sshd服務器上， /etc/ssh/sshd_config 中加入兩行:
  AuthorizedKeysCommandUser /etc/ssh/keys.sh %u %U
AuthorizedKeysCommandUser root , (或指定一個別的用戶身份)
  重啟 sshd 服務生效, service sshd restart，

  #!/bin/sh
  # 例子 /etc/ssh/keys.sh 檔案, 權限mode是 0755，owner,group 都是 root
  # 傳入兩個引數 $1=username，$2=user ID
  # 例子中, $1 $2 沒有使用
  # 因 OpenSSH 權限提升漏洞 (CVE-2021-41617), 此程式只能由管理員撰寫，不應該開放給用戶修改，
  echo "ssh-ed25519 AAAAC.....xx Comment"   # 普通密鑰的公鑰
  echo "cert-authority ssh-ed25519 AAAAC.....xx Comment"   # CA的公鑰,無principals限制
  # CA的公鑰, 有principals限制
  echo 'cert-authority,principals="host02,allhost" ssh-ed25519 AAAAC.....xx Comment'
  

• AuthorizedKeysCommandUser abc 指定程式以 abc 用戶身份執行，
  可以接受 "%u" 表示以登錄的身份執行, 但不建議，
• 任何用戶登錄，sshd 都會先檢查 AuthorizedKeysFile 中的公鑰，
  如果找不到，才會執行 AuthorizedKeysCommand 程式，
  如果程式的輸出中，也沒有找到匹配的公鑰，則繼續其他認證，如TrustedUserCAKeys，
• 任何用戶登錄，使用的用戶證書，簽名的CA在AuthorizedKeysFile或AuthorizedKeysCommand中找到，
  是否有principals限制看匹配行的principals="" ，
  在AuthorizedPrincipalsFile,AuthorizedPrincipalsCommand的cert-authority...匹配行中，
  • 如果無principals= 則用戶證書無principals可以登錄，或者用戶證書有principals，且包含用戶名 才能登錄，
  • 如果有principals="xx02,xx03" 則用戶證書有principals，且包含任意一個principal 才能登錄，

ssh登錄程序中，基于簽名(證書)的服務器認證

• 基于 openSSH-8.0p1 , 測驗成功，
• 創建 用于簽發服務器證書的密鑰(服務器CA)，管理員創建，私鑰不傳遞，
  ssh-keygen -t ed25519 -C server_ca@myCA -f server_ca，
  得到兩個檔案，server_ca , server_ca.pub，
  只是密鑰對，不是證書，因為沒做自簽名證書，
• 讓ssh客戶端信任"服務器CA"的公鑰，(用戶級)
  在ssh客戶端上, 用戶的 ~/.ssh/known_hosts 中加入一行(服務器CA的公鑰)，此檔案權限mode通常是0644，
  @cert-authority * ssh-ed25519 AAAAC.....xx server_ca@myCA
  內容為 server_ca.pub 檔案的內容，
• 讓ssh客戶端信任"服務器CA"的公鑰，(全域)
  在ssh客戶端上，/etc/ssh/ssh_known_hosts 中加入一行(服務器CA的公鑰)，此檔案權限mode是0644，
  @cert-authority * ssh-ed25519 AAAAC.....xx server_ca@myCA
  內容為 server_ca.pub 檔案的內容，
• 只要是這個密鑰(服務器CA)簽名過的服務器公鑰，配置到sshd服務器之后，ssh連接服務器時，就不會有連接警告，
• 用 server_ca (私鑰)對服務器的公鑰簽名，得到服務器證書，
  直接在sshd服務器上簽名，或者把服務器的三個公鑰發給管理員簽名，
  對于openSSH-8，是這三個ssh_host_ecdsa_key.pub,ssh_host_ed25519_key.pub,ssh_host_rsa_key.pub，
  比如,簽其中一個: ssh-keygen -s server_ca -I ident -h /etc/ssh/ssh_host_ed25519_key.pub
  得到一個檔案 ssh_host_ed25519_key-cert.pub，
  別忘了 -h 引數，漏了就無效了，
  可以帶上 -V -1m:forever -n "*.myhost.cn,*.xxx.com"
-n abc.mydomain.com 限制證書的域名,IP，不限制就去掉這個引數，
  -V -1m:+3d 限制證書的時效，不限制就去掉這個引數，
  可以對多個不同型別的公鑰簽名，得到不同型別的服務器證書，
  sshd服務器原本使用的密鑰，不滿意，可以在sshd服務器上重新生成一遍，保證服務器私鑰不傳遞，見下面【更新sshd服務端的通訊密鑰/證書】部分，
• 查看已經簽名的服務器證書的內容，
  ssh-keygen -L -f ssh_host_ed25519_key-cert.pub，
• 在sshd服務器上，修改 /etc/ssh/sshd_config 加三行，
  HostCertificate /etc/ssh/ssh_host_ecdsa_key-cert.pub
HostCertificate /etc/ssh/ssh_host_ed25519_key-cert.pub
HostCertificate /etc/ssh/ssh_host_rsa_key-cert.pub
  如果只簽一個型別的服務器證書，HostCertificate /etc/ssh/.... 就只寫一行吧，
  重啟 sshd，執行 /sbin/service sshd reload，
• 在ssh客戶端上，用命令 ssh user1@sshd服務器 就沒有連接警告了，
• 讓ssh客戶端 revoked 服務器的公鑰，(用戶級)
  在ssh客戶端上，用戶的 ~/.ssh/known_hosts 中加入一行的公鑰，
  @revoked * ssh-ed25519 AAAAC.....xx server_ca@myCA
  內容可以是CA公鑰 server_ca.pub，也可以是普通服務器的公鑰，也可以是服務器證書ssh_host_ed25519_key-cert.pub的內容，
• 讓ssh客戶端 revoked 服務器的公鑰，(全域)
  在ssh客戶端上，/etc/ssh/ssh_config 中加入 RevokedHostKeys /path_to/KRL_file，
  /path_to/KRL_file檔案權限mode是0644，
  KRL檔案格式，可以是純文本，一行一個公鑰，也可以是由ssh-keygen生成的二進制格式，
  ssh-keygen 創建 KRL 檔案，見前面【基于簽名(證書)的用戶認證】部分，
• 讓ssh客戶端 revoked 服務器的公鑰，(全域)
  在ssh客戶端上，/etc/ssh/ssh_known_hosts 中加入一行，也可以，此檔案權限mode是0644，
  @revoked * ssh-ed25519 AAAAC.....xx server_ca@myCA

更新 sshd 服務端的通訊密鑰/證書，保證服務器安全

• 目前的 OpenSSH-8 需要三套密鑰，一共六個檔案，

  cd /etc/ssh/
  ssh-keygen -l -f ssh_host_rsa_key  #看一下,原來密鑰的注釋是什么，然后決定下面的 -C 引數寫什么
  
  ssh-keygen -t ecdsa -b 384 -C root@你的機器名 -f ssh_host_ecdsa_key
  ssh-keygen -t ed25519 -C root@你的機器名 -f ssh_host_ed25519_key
  ssh-keygen -t rsa -b 4096 -C root@你的機器名 -f ssh_host_rsa_key
  service sshd restart   #重啟sshd服務
  

• 其中，
  ecdsa默認是256bit，可以用 -b 指定，
  ed25519固定是256bit，不能改，
  rsa默認已經從2048改為3072bit了，可以用 -b 指定，
• 還有個簡單的辦法，
  洗掉所有的服務器密鑰 rm /etc/ssh/ssh_host_* , 重新用默認值生成一遍 ssh-keygen -A，
  重啟sshd服務 service sshd restart，
• 參考【更換ssh通信證書,ssh更改公鑰和密鑰，以保證服務器安全】
  【更換ssh通信證書,ssh更改公鑰和密鑰，以保證服務器安全】

---end---

轉載注明來源: 本文鏈接 https://www.cnblogs.com/osnosn/p/16870594.html 來自osnosn的博客.

標籤：其他

上一篇：UBOOT編譯--- UBOOT頂層Makefile中目標_all和all的關系及背景(四)

下一篇：第四章 linux字符設備驅動一