Die Anmeldung mit einem YubiKey an einem entfernten Server ist mit SSH ist eine sehr sichere und komfortable Methode für die Anmeldung per Secure Shell (SSH).
Als Benutzer musst du dir nicht mehr irgendwelche Passwörter merken und den privaten SSH-Schlüssel umständlich auf deinem Client oder einem USB-Stick verwalten.
Die erste Wahl für den Fernzugriff auf einen Linux-Server ist sicherlich SSH. Möchte man aber dabei eine komplette Desktop-Umgebung nutzen, dann eignet sich VNC (=Virtual Network Computing).
Da die VNC-Verbindung nicht wirklich sicher ist und nur mit einem schwachen Passwort abgesichert werden kann, sollte man SSH und VNC kombinieren.
Ich verwende an meinem MacBook einen YubiKey als SmartCard, um mich per SSH auf meine Linux-Server zu verbinden. Nach der Einrichtung wurde der YubiKey auch erkannt und die PIN-Eingabe ist über pinentry-mac auch möglich.
SSH-Verbindungen sind eigentlich die gängigste Methode, um sich mit entfernen Linux-Systemen zu Verbindungen und diese zu verwalten. Hier im Blog habe ich bereits ausführlich beschrieben, wie man einen Hardwaretoken für die Authentifizierung verwenden kann, um zum einen keine privaten Schlüssel auf der Festplatte zu haben und keine Passwörter für die SSH-Verbindungen mehr verwalten zu müssen.
Das Ziel ist es von einem Linux-Client aus alle Daten einem bestimmten Verzeichnisse auf unser Synology NAS zu synchronisieren und dort als eine Art Backup vorzuhalten.
Ein YubiKey kann genutzt werden, um eine SSH-Verbindung zu einem entfernten Linux-Server zu authentifizieren.
Gitea bietet die Möglichkeit an mit einem SSH-Schlüsselpaar auf Git Repositories zuzugreifen. Seit ihr bereits im Besitz eines YubiKeys mit Smart Card Funktionalität könnt ihr den Hardwaretoken nutzen, um schnell und einfach Zugriff zu erhalten.
Es gibt eine einfache Möglichkeit seine Musikbibliothek von einem Synology NAS auf einen USB-Stick oder eine externe Festplatte die an einem Raspberry Pi angeschlossen ist regelmäßig und automatisch zu synchronisieren.
Dateien werden in einem Git Repository im "Master Branch" verwaltet und sollen einer breiteren Öffentlichkeit über das Filesharing-Programm Nextcloud zugänglich gemacht werden.
Hier lautet die Antwort natürlich, mit einem Passwortmanager!
Ich verwende den Passwortmanager "KeePassXC", den ich hier im Blog auch schon einmal kurz in Verbindung mit einem YubiKey vorgestellt habe. In dem Artikel beschreibe ich, wie der Zugriff auf den Passwortmanager zusätzlich zu einem Passwort noch mit einem Hardwaretoken abgesichert werden kann 👉 Passwortmanager mit YubiKey absichern.
Mit einem YubiKey lässt sich die Benutzeranmeldung an einem Linux-PC mit einem zweiten Faktor (U2F) absichern. Den U2F kann man dabei global für jede Benutzeranmeldung, sei es die grafische Anmeldung oder via SSH, vorgeben.
Der YubiKey kann für die Absicherung des Logins bei Windows-Clients verwendet werden, dabei muss der Benutzer neben seinem Benutzernamen und Passwort auch den YubiKey am PC anschließen und dessen Metallkontakte drücken. Werden beide Login Credentials vom System erkannt, wird der Login erlaubt und der Benutzer erhält Zugang zu seinem Benutzerkonto.
Eine Anmeldung an einem entfernten Server mit SSH ist im Linux-Umfeld zur Administration keine große Sache und schnell eingerichtet. Als Besitzer eines YubiKeys kann man das alles noch ein wenig effizienter und eleganter lösen.
Der YubiKey mit OpenPGP Smart Card Funktion wird zu Authentifizierung verwendet. Dabei wird aus dem GPG-Schlüssel ein öffentliche SSH-Schlüssel erstellt, der auf den entfernten Server in der Datei ~/.ssh/authorized_keys gespeichert wird.
Der YubiKey wird am Client angeschlossen und nach der Eingabe des PINs wird eine SSH-Verbindung zum Server hergestellt.
Das Besondere, einen privaten SSH-Schlüssel, der auf dem eigenen Client abgespeichert werden muss, gibt es nicht. Der private Schlüssel ist und bleibt auf dem YubiKey.
Die Anmeldung an einem Linux-Server ist mit einem YubiKey ohne die Eingabe eines Passworts möglich. Die Administration wird damit erheblich erleichtert und die Sicherheit erhöht.
Der Komfort ist einfach super! Bei der Anmeldung ist kein Passwort mehr einzugeben, sondern es ist lediglich der am PC angeschlossene YubiKey erforderlich.
In diesem Beitrag werden die erstellen Sub Keys auf einen YubiKey übertragen.