در اینجا ما خواهیم دید که چگونه یک کلید خاص که برای ورود به سیستم بر اساس کلید استفاده می شود را با استفاده از OpenSSH با استفاده از یک لیست ساده لغو کلید عمومی یا لیست ابطال کلید OpenSSH (KRL) ابطال می کند.
پرونده فهرست ابطال خالی.
$ sudo touch / etc / ssh / sshd_revoken_keys
تکمیل این به عنوان اولین قدم مهم است یا ممکن است خطر آن را داشته باشید که تأیید اعتبار عمومی برای هر کاربر رد شود.
پرونده پیکربندی sshd_config را ویرایش کنید. از جمله یک لیست بررسی.
$ vim / etc / ssh / sshd_config
[...]
RevokenKeys / etc / ssh / sshd_revoken_keys
[...]
سرور OpenSSH را مجدداً راه اندازی کنید.
$ sudo systemctl reload ssh
سیاهههای مربوط به auth.log را بررسی کنید ، زیرا یک پرونده لیست مرور گم شده به راحتی قابل شناسایی است. [19659004] $ tail /var/log/auth.log
[…]
16 سپتامبر 23:39:02 buster sshd [909]: خطا: خطا در بررسی کلید احراز هویت RSA SHA256: dzfaHFy / dUBtH03VtjnZABbVDxlzEvxKR / a3eOgqvZQ در کلیدهای لغو شده پرونده / etc. / sf_________________________________________________________sh__ یا فهرست
[…]
یک لیست لغو کلید عمومی ساده
این یک راه حل مستقیم است زیرا شما نیاز دارید که کلیدهای عمومی را در یک لیست لیست ابطال ذخیره کنید.
اثر انگشت کلید را نمایش دهید:
$ ssh-keygen -l -f sshkey.pub
2048 SHA256: dzfaHFy / dUBtH03VtjnZABbVDxlzEvxKR / a3eOgqvZQ بدون نظر (RSA)
کلید عمومی را به لیست لیست بررسی اضافه کنید.
$ cat sshkey.p | sudo tee -a / etc / ssh / sshd_revoken_keys
از این پس این کلید باطل خواهد شد و هر تلاش برای استفاده از این کلید در auth.log وارد می شود.
$ tail /var/log/auth.log
[...]
سپتامبر 17 00:00:32 buster sshd [977]: خطا: کلید تأیید اعتبار RSA SHA256: dzfaHFy / dUBtH03VtjnZABbVDxlzEvxKR / a3eOgqvZQ لغو شده توسط پرونده / etc / ssh / sshd_revoken901s4 فرمت لیست Revocation Key (KRL) OpenSSH برای مدیریت کلیدهای لغو شده ، بنابراین پرونده حاصل شده بسیار ناچیز است.
پرونده حذف لیست کلید خالی کلید (KRL) را ایجاد کنید.
$ sudo ssh-keygen -k -f / etc. / ssh / sshd_revoken_keys
نمایش اثر انگشت کلید:
$ ssh-keygen -l -f sshkey.pub
2048 SHA256: dzfaHFy / dUBtH03VtjnZABbVDxlzEvxKR / a3eOgqvZQ بدون نظر (RSA)
بررسی کنید که آیا کلید مشخص شده باطل شده است
$ sudo را SSH- کرک س -f / و غیره / ssh / sshd_revoked_keys sshkey.pub.
sshkey.pub (sshkey.pub): ok
این کلید خاص را لغو کنید.
$ sudo ssh-keygen -k -u -f / etc / ssh / sshd_revoken_keys sshkey.pub
باطل از sshkey.pub
مطمئن شوید که کلید ابطال شده است.
$ sudo ssh-keygen -Q -f / etc / ssh / sshd_revoken_keys sshkey.pub
sshkey.pub (sshkey.pub): REVOKED
از این پس این کلید لغو خواهد شد و هر تلاش برای استفاده از این کلید در auth.log وارد می شود.
$ tail /var/log/auth.log
[...]
سپتامبر 17 00:15:33 buster sshd [1197]: خطا: کلید احراز هویت RSA SHA256: dzfaHFy / dUBtH03VtjnZABbVDxlzEvxKR / a3eOgqvZQ لغو شده توسط پرونده / etc / ssh / sshd_rev653sss3s3s3s3sssss3s3s3s3sssssssss3ss3ssssss3sssssss3sssssss3ssssssss3ssssssssssss3ss3sssssssssssss3ss3sssssssssssssss3ss3sssssssssssss3sssssssssss3ssssssssssss3sssssssssss193s3sstss19 ssh-keygen را بزنید و برای کسب اطلاعات بیشتر ، فرم لیست لغو کلید OpenSSH را بررسی کنید.
من از گواهی های معتبر استفاده نکرده ام زیرا این موضوع برای مقاله دیگری است.
تکمیل این به عنوان اولین قدم مهم است یا ممکن است خطر آن را داشته باشید که تأیید اعتبار عمومی برای هر کاربر رد شود.
پرونده پیکربندی sshd_config را ویرایش کنید. از جمله یک لیست بررسی.
$ vim / etc / ssh / sshd_config [...] RevokenKeys / etc / ssh / sshd_revoken_keys [...]
سرور OpenSSH را مجدداً راه اندازی کنید.
$ sudo systemctl reload ssh
سیاهههای مربوط به auth.log را بررسی کنید ، زیرا یک پرونده لیست مرور گم شده به راحتی قابل شناسایی است. [19659004] $ tail /var/log/auth.log
[…]
16 سپتامبر 23:39:02 buster sshd [909]: خطا: خطا در بررسی کلید احراز هویت RSA SHA256: dzfaHFy / dUBtH03VtjnZABbVDxlzEvxKR / a3eOgqvZQ در کلیدهای لغو شده پرونده / etc. / sf_________________________________________________________sh__ یا فهرست
[…]
یک لیست لغو کلید عمومی ساده
این یک راه حل مستقیم است زیرا شما نیاز دارید که کلیدهای عمومی را در یک لیست لیست ابطال ذخیره کنید.
اثر انگشت کلید را نمایش دهید:
$ ssh-keygen -l -f sshkey.pub 2048 SHA256: dzfaHFy / dUBtH03VtjnZABbVDxlzEvxKR / a3eOgqvZQ بدون نظر (RSA)
کلید عمومی را به لیست لیست بررسی اضافه کنید.
$ cat sshkey.p | sudo tee -a / etc / ssh / sshd_revoken_keys
از این پس این کلید باطل خواهد شد و هر تلاش برای استفاده از این کلید در auth.log وارد می شود.
$ tail /var/log/auth.log [...] سپتامبر 17 00:00:32 buster sshd [977]: خطا: کلید تأیید اعتبار RSA SHA256: dzfaHFy / dUBtH03VtjnZABbVDxlzEvxKR / a3eOgqvZQ لغو شده توسط پرونده / etc / ssh / sshd_revoken901s4 فرمت لیست Revocation Key (KRL) OpenSSH برای مدیریت کلیدهای لغو شده ، بنابراین پرونده حاصل شده بسیار ناچیز است.پرونده حذف لیست کلید خالی کلید (KRL) را ایجاد کنید.
$ sudo ssh-keygen -k -f / etc. / ssh / sshd_revoken_keysنمایش اثر انگشت کلید:
$ ssh-keygen -l -f sshkey.pub 2048 SHA256: dzfaHFy / dUBtH03VtjnZABbVDxlzEvxKR / a3eOgqvZQ بدون نظر (RSA)بررسی کنید که آیا کلید مشخص شده باطل شده است
$ sudo را SSH- کرک س -f / و غیره / ssh / sshd_revoked_keys sshkey.pub. sshkey.pub (sshkey.pub): okاین کلید خاص را لغو کنید.
$ sudo ssh-keygen -k -u -f / etc / ssh / sshd_revoken_keys sshkey.pub باطل از sshkey.pubمطمئن شوید که کلید ابطال شده است.
$ sudo ssh-keygen -Q -f / etc / ssh / sshd_revoken_keys sshkey.pub sshkey.pub (sshkey.pub): REVOKEDاز این پس این کلید لغو خواهد شد و هر تلاش برای استفاده از این کلید در auth.log وارد می شود.
$ tail /var/log/auth.log [...] سپتامبر 17 00:15:33 buster sshd [1197]: خطا: کلید احراز هویت RSA SHA256: dzfaHFy / dUBtH03VtjnZABbVDxlzEvxKR / a3eOgqvZQ لغو شده توسط پرونده / etc / ssh / sshd_rev653sss3s3s3s3sssss3s3s3s3sssssssss3ss3ssssss3sssssss3sssssss3ssssssss3ssssssssssss3ss3sssssssssssss3ss3sssssssssssssss3ss3sssssssssssss3sssssssssss3ssssssssssss3sssssssssss193s3sstss19 ssh-keygen را بزنید و برای کسب اطلاعات بیشتر ، فرم لیست لغو کلید OpenSSH را بررسی کنید.من از گواهی های معتبر استفاده نکرده ام زیرا این موضوع برای مقاله دیگری است.