Conversation

Notices

1. zunda (zundan@mastodon.zunda.ninja)'s status on Thursday, 14-Sep-2023 11:16:03 JST zunda

   家のsshサーバは家の外からsshする時は第2要素を要求するようにしてるよ

   https://qiita.com/zunda/items/326f4084efda177a22d1
   https://qiita.com/zunda/items/c61528397ca49ba797c6

   • 斎藤ただし (tadd@best-friends.chat)'s status on Thursday, 14-Sep-2023 11:16:01 JST 斎藤ただし

     in reply to

     @zundan なるほどなるほど、前提分かってなくてすみません。
     とするとTOTPの追加は、踏み台ホストのroot権限が第三者に取られた場合に備えている、 ということでしょうか？なかなかにハードな要件ですね……いや、また自分が勘違いしてそうな気もします。

   • ikeji (ikeji@ostatus.ikeji.ma)'s status on Thursday, 14-Sep-2023 11:16:01 JST ikeji

     in reply to

     • 斎藤ただし
     @tadd @zundan 持ってないのですが、yubikeyにパスワードはかけられないのでしょうか？また、yubikeyを落としたら、単純に秘密鍵を無効化するのではだめなのでしょうか？
     (自分の気が付かないうちに)取り出せるところに秘密鍵を置くのは怖い気がするのですが。
   • 斎藤ただし (tadd@best-friends.chat)'s status on Thursday, 14-Sep-2023 11:16:02 JST 斎藤ただし

     in reply to

     @zundan この最初の「解析されると怖い」というのは、私有鍵がすでに攻撃者から盗み見られる状況を想定しているのでしょうか？

   • zunda (zundan@mastodon.zunda.ninja)'s status on Thursday, 14-Sep-2023 11:16:02 JST zunda

     in reply to

     • 斎藤ただし

     @tadd です。踏み台ホストのrootの人はそこに置いてある私有鍵を読むことができます。それでも、落とすかもしれない。携帯電話やYubiKey (第2要素しては使っている) にssh私有鍵を入れておくよりは安全と感じています。

   • ikeji (ikeji@ostatus.ikeji.ma)'s status on Thursday, 14-Sep-2023 11:34:25 JST ikeji

     in reply to

     • 斎藤ただし
     @tadd @zundan ありがとうございます。参考になります。
     
     あと、別な疑問として、
     YubiKey本体と、YubiKeyのパスワード、の組は2要素認証と言えるのかが気になってます。
   • 斎藤ただし (tadd@best-friends.chat)'s status on Thursday, 14-Sep-2023 11:34:26 JST 斎藤ただし

     in reply to

     • ikeji

     @zundan @ikeji （+900京: 参考になる）（解説ありがたいです！）

   • zunda (zundan@mastodon.zunda.ninja)'s status on Thursday, 14-Sep-2023 11:34:27 JST zunda

     in reply to

     • ikeji
     • 斎藤ただし

     @ikeji @tadd YubiKeyにパスワード(PIN)をかけられます。試していないのですが、SSH私有鍵としてYubiKeyを使う場合はYubiKeyに格納されたOpenPGP私有鍵を使うだろうと思います。この場合YubiKeyはSecurecardとして働いて、ホストのSecurecardデーモンから署名や復号を依頼する時にホストからPINを送るようです。3回間違えると私有鍵を利用できなくなるそうです。

     この記事に書いたのはYubiKeyの普及前からあったセットアップだったので踏み台に私有鍵が置きっぱなしになっています。また、Securecardデーモンが無い端末からでもログインしたい場合もありそうで、抜け穴を開けたままにしてあります。今から始めるとするともっと安全なセットアップにできそうですね。

   • ikeji (ikeji@ostatus.ikeji.ma)'s status on Thursday, 14-Sep-2023 11:42:46 JST ikeji

     in reply to

     • 斎藤ただし
     @zundan @tadd これが2要素扱いになるとすると、sshサーバー側は何もしなくても2要素になるので嬉しいのですが。
   • zunda (zundan@mastodon.zunda.ninja)'s status on Thursday, 14-Sep-2023 11:42:47 JST zunda

     in reply to

     • ikeji
     • 斎藤ただし

     @ikeji @tadd FIDOやYubico OTPの場合は触るだけで認証が始まるので単一要素だと思います。モデルに依ってはYubiKey内で指紋認証が走るようで、その場合は、うーん、持ち物と生体になるのかな…？ OpenPGPの場合は一定時間ごとにPINを要求されますが、うーん、知識と持ち物になるのかどうか…

   • zunda (zundan@mastodon.zunda.ninja)'s status on Thursday, 14-Sep-2023 16:14:44 JST zunda

     in reply to

     • ikeji
     • 斎藤ただし

     @ikeji @tadd ですねー。個人用途なら自分でリスクを想像して判断するしかないだろうと思いますが、sshd側ではクライアント側の私有鍵の安全性を制御できない(パスワードレスで保管されている鍵対と例えば指紋認証付きのYubiKeyに保管されている鍵対とを見分けることができない)のは怖いかもしれません。企業用途だときっと何かセキュリティの基準があってそれに従うことになるんじゃないかと想像します。

     ikeji likes this.