配置sshd_使用CA签名证书登录_更新sshd服务端的通讯密钥

配置sshd_使用CA签名证书登录_更新sshd服务端的通讯密钥

转载注明来源: 本文链接 来自osnosn的博客，写于 2022-11-06.

用CA签名证书登录

• 请参考【SSH 证书登录教程】,这个旧了。
• 参考:【Creating SSH CA Certificate Signing Keys】,这是基于openSSH-5.3p1
• 【SSH 证书登录教程】
• 【基于CA签名的用户公钥管理】,【基于CA签名的用户公钥管理】
• 【证书登录的流程】
• 【Linux 采用 SSH CA 登陆验证】
• putty-0.77 还不支持这种认证。putty-0.78 开始支持CA签名证书认证。
• winscp-5.21.5 还不支持这种认证。下一个版本可能会支持。

ssh登录过程中，基于签名(证书)的用户认证

• 基于 openSSH-8.0p1 , 测试成功。
• 创建 用于签发用户证书的密钥(用户CA)。管理员创建，私钥不传递。
  ssh-keygen -t ed25519 -C user_ca@myCA -f user_ca。
  得到两个文件，user_ca , user_ca.pub。
  只是密钥对，不是证书。因为没做自签名证书。
• 让sshd服务端信任”用户CA”的公钥。(方法一,用户级)
  建议限制 principals。如果多个服务器信任同一个CA，只要每个服务器上的 principals 都不同。
  就能做到，用同一个CA签发的用户证书，能登录其中一个服务器，而不能登录别的服务器。
  在sshd服务器上，用户的 ~/.ssh/authorized_keys 中加入一行(用户CA的公钥)。此文件权限mode要求是0600。
  cert-authority,principals="host02,allhost" ssh-ed25519 AAAAC.....xx user_ca@myCA
  内容为 user_ca.pub 文件的内容。
  如果用户证书包含 host02 或 allhost 才能登录(此种情况不判断用户名)。
  每个想用证书登录的用户的 ~/.ssh/authorized_keys 都要加一行。
  • 不做限制，在sshd服务器上，用户的 ~/.ssh/authorized_keys 中加入一行(用户CA的公钥)。
    cert-authority ssh-ed25519 AAAAC.....xx user_ca@myCA
    如果用户证书没有限制 或 包含用户名 才能登录。
• 让sshd服务端信任”用户CA”的公钥。(方法二,全局系统级)
  在sshd服务器上，创建 principals 目录 mkdir /etc/ssh/principals。此目录权限mode要求是0755。
  在 /etc/ssh/sshd_config 中加入两行:
  TrustedUserCAKeys /etc/ssh/user_ca_list.pub ,
  AuthorizedPrincipalsFile /etc/ssh/principals/%u ,
  重启 sshd 服务生效, service sshd restart。
  • user_ca_list.pub 可以多行，CA公钥文件user_ca.pub的内容占其中一行。文件权限mode可以是0600或0644。
    例如: ssh-ed25519 AAAAC.....xx Comment
  • 之后再次修改 user_ca_list.pub 和 /etc/ssh/principals/ 中的文件，无需重启sshd即生效。
  • 如果不使用 AuthorizedPrincipalsFile /..../%u，则用户证书需要包含用户名才能登录。
  • AuthorizedPrincipalsFile，只能配置一个路径，不支持多个路径。
  • 如果对应用户的文件不存在或为空，用户证书无论包含什么princpals都不能登录。
  • 根据不同的用户名, 限制 principals, 比如 /etc/ssh/principals/root 文件:
    一行一个 principal , 用户证书包含任意一个 principal 才能登录。文件权限mode必须是0644。

## 注释:/etc/ssh/principals/root文件内容
principl_01
principl_02

• • 在 /etc/ssh/sshd_config 中加入两行:
    AuthorizedPrincipalsCommand /etc/ssh/princ.sh %u %U %s %i ,
    AuthorizedPrincipalsCommandUser root , (或指定一个别的用户身份)
    重启 sshd 服务生效, service sshd restart。

#!/bin/sh
# 例子 /etc/ssh/princ.sh 文件, 权限mode是 0755，owner,group 都是 root
# 传入四个参数 $1=username，$2=user ID, $3=证书的serial num, $4=证书的key ID
# 例子中, $3 $4 没有使用
# 因 OpenSSH 权限提升漏洞 (CVE-2021-41617), 此程序只能由管理员编写，不应该开放给用户修改。

host=myhost02

buf="$host-$1"
buf2=$(echo "$buf" |/bin/shasum -)
buf2=${buf2%% *-}
echo "$buf2"
if [ "$2" -eq 0 ]; then
   echo "$host-root"
   echo "allhost-root"
else
   echo "$buf"
   echo "allhost-user"
fi

• • AuthorizedPrincipalsCommandUser abc 指定程序以 abc 用户身份执行。
    可以接受 “%u” 表示以登录的身份执行, 但不建议。
  • 另一个例子，也可以通过webserver查询principals。
    AuthorizedPrincipalsCommand /bin/curl -s http://localhost/sshprincipals?user=%u&serial=%s&id=%i
  • sshd 会先检查 AuthorizedPrincipalsFile 中的 principals，
    如果找不到，才会执行 AuthorizedPrincipalsCommand 程序。
    如果程序的输出中，也没有找到匹配的 principals，则认证失败。
• 只要是用这个密钥(用户CA)签名过的用户公钥，满足 principals 要求，就能登录此sshd服务器的相应用户。
• 创建用户密钥。用户自己创建，私钥不传递。
  ssh-keygen -t ed25519 -C user@myhost -f users_key
  得到两个文件，users_key , users_key.pub。
• 用 user_ca (私钥)对用户密钥的公钥签名，得到一个用户证书。
  只把用户公钥发给管理员签名即可。只须要有”users_key.pub”公钥文件，无需用户的私钥文件。
  ssh-keygen -s user_ca -I ident -n user1,principal_02 -V -10m:+90d users_key.pub
  得到一个文件 users_key-cert.pub，发回给用户。
  -n user1,principal_02 限制证书的用户名 或principals。不限制就去掉这个参数。
  -V -1m:+10d 限制证书的时效。不限制就去掉这个参数。
  -O source-address=192.168.123.0/24,10.1.2.3 限制来源IP。
  -O force-command="date" 强制只执行某个命令。
• 查看已经签名的用户证书的内容。
  ssh-keygen -L -f users_key-cert.pub。
• 在ssh客户端上，
  把两个文件放在一起 users_key , users_key-cert.pub。这个文件没用 users_key.pub。
  用命令 ssh user1@sshd服务器 -i users_key 就能够登录了。
• 在sshd服务器上，创建或更新 KRL 文件。
  创建 revoke 文件,并把证书加入: ssh-keygen -k -f KRL_file key-cert.pub。
  更新 revoke 文件,并把公钥加入: ssh-keygen -ku -f KRL_file key.pub。
  更新 revoke 文件,并把CA公钥加入: ssh-keygen -ku -f KRL_file user_ca.pub。
  不仅能吊销ca签名证书，也可以吊销普通密钥的公钥。
• 列出 KRL 文件内容: ssh-keygen -Ql -f KRL_file。
  测试 key-cert.pub 是否被 revoked : ssh-keygen -Q -f KRL_file key-cert.pub。
• KRL 文件也可以是纯文本的，不用 ssh-keygen 生成，格式同/etc/ssh/user_ca_list.pub,一行一个公钥。
  例如: ssh-ed25519 AAAAC.....xx Comment
  可以是CA公钥 user_ca.pub，也可以是普通密钥的公钥，也可以是用户证书users_key-cert.pub的内容。
• 让sshd服务器检查 KRL 文件。(KRL文件,纯文本或者二进制格式,都支持)
  在sshd服务器上 /etc/ssh/sshd_config 中加入一行 RevokedKeys /path_to/KRL_file ,
  重启 sshd 服务生效, service sshd restart。
  /path_to/KRL_file 文件的权限mode可以是 0600 或 0644。
  之后再次修改 KRL 文件，无需重启sshd。
• 区别:
  • 用户证书认证, 可以限制登录用户名 或principals, 可以设置有效期, 可以限制来源IP。
  • 密钥认证, 无这些功能。

ssh登录过程中，基于签名(证书)的服务器认证

• 基于 openSSH-8.0p1 , 测试成功。
• 创建 用于签发服务器证书的密钥(服务器CA)。管理员创建，私钥不传递。
  ssh-keygen -t ed25519 -C server_ca@myCA -f server_ca。
  得到两个文件，server_ca , server_ca.pub。
  只是密钥对，不是证书。因为没做自签名证书。
• 让ssh客户端信任”服务器CA”的公钥。(用户级)
  在ssh客户端上, 用户的 ~/.ssh/known_hosts 中加入一行(服务器CA的公钥)。此文件权限mode通常是0644。
  @cert-authority * ssh-ed25519 AAAAC.....xx server_ca@myCA
  内容为 server_ca.pub 文件的内容。
• 让ssh客户端信任”服务器CA”的公钥。(全局)
  在ssh客户端上，/etc/ssh/ssh_known_hosts 中加入一行(服务器CA的公钥)。此文件权限mode是0644。
  @cert-authority * ssh-ed25519 AAAAC.....xx server_ca@myCA
  内容为 server_ca.pub 文件的内容。
• 只要是这个密钥(服务器CA)签名过的服务器公钥，配置到sshd服务器之后。ssh连接服务器时，就不会有连接警告。
• 用 server_ca (私钥)对服务器的公钥签名，得到服务器证书。
  直接在sshd服务器上签名，或者把服务器的三个公钥发给管理员签名。
  ssh-keygen -s server_ca -I ident -h /etc/ssh/ssh_host_ed25519_key.pub
  得到一个文件 ssh_host_ed25519_key-cert.pub。
  别忘了 -h 参数，漏了就无效了。
  可以带上 -V -1m:forever -n "*.myhost.cn,*.xxx.com"
-n abc.mydomain.com 限制证书的域名,IP。不限制就去掉这个参数。
  -V -1m:+3d 限制证书的时效。不限制就去掉这个参数。
  可以对多个不同类型的公钥签名，得到不同类型的服务器证书。
  sshd服务器原本使用的密钥，不满意，可以在sshd服务器上重新生成一遍。保证服务器私钥不传递。见下面【更新sshd服务端的通讯密钥/证书】部分。
• 查看已经签名的服务器证书的内容。
  ssh-keygen -L -f ssh_host_ed25519_key-cert.pub。
• 在sshd服务器上，修改 /etc/ssh/sshd_config 加一行，
  HostCertificate /etc/ssh/ssh_host_ed25519_key-cert.pub
  如果有不同类型的服务器证书，HostCertificate /etc/ssh/.... 可以写多行，每行指定一个证书文件。
  重启 sshd，执行 /sbin/service sshd reload。
• 在ssh客户端上，用命令 ssh user1@sshd服务器 就没有连接警告了。
• 让ssh客户端 revoked 服务器的公钥。(用户级)
  在ssh客户端上，用户的 ~/.ssh/known_hosts 中加入一行的公钥。
  @revoked * ssh-ed25519 AAAAC.....xx server_ca@myCA
  内容可以是CA公钥 server_ca.pub，也可以是普通服务器的公钥，也可以是服务器证书ssh_host_ed25519_key-cert.pub的内容。
• 让ssh客户端 revoked 服务器的公钥。(全局)
  在ssh客户端上，/etc/ssh/ssh_config 中加入 RevokedHostKeys /path_to/KRL_file，
  /path_to/KRL_file文件权限mode是0644。
  KRL文件格式，可以是纯文本，一行一个公钥。也可以是由ssh-keygen生成的二进制格式。
  ssh-keygen 创建 KRL 文件，见前面【基于签名(证书)的用户认证】部分。
• 让ssh客户端 revoked 服务器的公钥。(全局)
  在ssh客户端上，/etc/ssh/ssh_known_hosts 中加入一行，也可以。此文件权限mode是0644。
  @revoked * ssh-ed25519 AAAAC.....xx server_ca@myCA

更新 sshd 服务端的通讯密钥/证书，保证服务器安全

• 目前的 OpenSSH-8 需要三套密钥，一共六个文件。

cd /etc/ssh/
ssh-keygen -l -f ssh_host_rsa_key  #看一下,原来密钥的注释是什么。然后决定下面的 -C 参数写什么

ssh-keygen -t ecdsa -b 384 -C root@你的机器名 -f ssh_host_ecdsa_key
ssh-keygen -t ed25519 -C root@你的机器名 -f ssh_host_ed25519_key
ssh-keygen -t rsa -b 4096 -C root@你的机器名 -f ssh_host_rsa_key
service sshd restart   #重启sshd服务

• 其中，
  ecdsa默认是256bit，可以用 -b 指定，
  ed25519固定是256bit，不能改，
  rsa默认已经从2048改为3072bit了，可以用 -b 指定。
• 还有个简单的办法。
  删除所有的服务器密钥 rm /etc/ssh/ssh_host_* , 重新用默认值生成一遍 ssh-keygen -A。
  重启sshd服务 service sshd restart。
• 参考【更换ssh通信证书,ssh更改公钥和密钥，以保证服务器安全】
  【更换ssh通信证书,ssh更改公钥和密钥，以保证服务器安全】

—end—

转载注明来源: 本文链接 https://www.cnblogs.com/osnosn/p/16870594.html 来自osnosn的博客.

原文地址：http://www.cnblogs.com/osnosn/p/16870594.html