Gentoo Way » security

SSH — Авторизация по ключу, что делать если ключ украли.

Дмитрий Бекетов — Sat, 28 Nov 2009 16:07:29 +0000

Ни для кого ни секрет насколько удобна авторизация по публичному ключу, а если для кого-то секрет - то можете ознакомиться вот с этой статьёй.

Но случается и такое, что ключ нужно заменить, причины? Честно говоря вижу только две - ключ скомпрометирован и, что почти то же самое, его украли.

Заменить ключ не составляет особого труда - всего-то нужно удалить с серверов старый публичный и записать вместо него новый. Вроде бы всё предельно просто, а что если серверов не один, не два и не три, а 10, 20 и более? Вот тут-то и просыпается великая и могучая лень Но есть необходимость, а значит нужно что-то делать.

На этот случай и был написан небольшой скрипт:
renew.sh

#!/bin/bash
# Author: Dmitriy Beketov (freemandigger --@-- gmail.com)
# Site: http://gentooway.ru
# Licence: Attribution-Noncommercial 3.0 Unported (http://creativecommons.org/licenses/by-nc/3.0/)

USAGE="Usage: ${0#*/} [-i id_rsa.old] [-d] "

privkey=""
dryrun=0
# Parse command line
while getopts i:d opt; do
case "$opt" in
i) privkey="$OPTARG";;
d) dryrun=1;;
*) echo $USAGE;;
esac
done
shift $(($OPTIND - 1))
[[ "$1" == '--' ]] && shift
if [[ $# -lt 3 ]]; then
echo $USAGE
exit 1
fi
oldpubkey=$1
hostlist=$3
newpubkey=$2
# Check files for exist
if [ "$privkey" ]; then
if [ ! -f "$privkey" ]; then
echo $USAGE
echo "Old private key file not found"
exit 1
fi
privkey="-i $privkey"
fi
if [ ! -f "$oldpubkey" ]; then
echo $USAGE
echo "Old public key file not found"
exit 1
fi
if [ ! -f "$hostlist" ]; then
echo $USAGE
echo "Host list not found"
exit 1
fi
if [ ! -f "$newpubkey" ]; then
echo $USAGE
echo "New public key file not found"
exit 1
fi

# Get the part of old public key for grep
OLD=`cat $oldpubkey | awk '{print $2}'`

SSH='/usr/bin/ssh'
SSH_COPY='/usr/bin/ssh-copy-id'
SCP='/usr/bin/scp'

test $dryrun -gt 0 && echo "START DRY RUN" || echo "START"
for host in `cat $hostlist`
do
printf "Copy new key to $host\n"
$SCP -q $privkey $newpubkey $host:.ssh/newpubkey
if [ "$?" > 0 ]; then
printf "\t[OK]\n"
printf "\tAdding new key to authorized_keys\n"
test $dryrun -gt 0 && printf "dry run" || $SSH $privkey $host "cat ~/.ssh/newpubkey >> ~/.ssh/authorized_keys"
test $? -gt 0 && printf "\t[FAIL]\n" || printf "\t[OK]\n"
printf "\tDeleting temporary file of new public key\n"
$SSH $privkey $host "rm ~/.ssh/newpubkey"
test $? -gt 0 && printf "\t[FAIL]\n" || printf "\t[OK]\n"
printf "\tBackup authorized_keys to authorized_keys.bak\n"
test $dryrun -gt 0 && printf "dry run" || $SSH $privkey $host cp .ssh/authorized_keys .ssh/authorized_keys.bak
test $? -gt 0 && printf "\t[FAIL]\n" || printf "\t[OK]\n"
printf "\tDeleting old public key from authorized_keys\n"
test $dryrun -gt 0 && printf "dry run" || $SSH $privkey $host "cat ~/.ssh/authorized_keys.bak | grep -v '$OLD' > ~/.ssh/authorized_keys"
test $? -gt 0 && printf "\t[FAIL]\n" || printf "\t[OK]\n"

else
printf "\t[FALSE]\n"
fi
done
echo "FINISH"
exit 0

Параметры вызова (не обязательные):

-d - Тестовый запуск, скрипт попробует скопировать новый ключ во временный файл на удалённом сервере, а затем его же и удалить.
-i - Ключ для авторизации на серверах, на случай если в ~/.ssh/id_rsa уже установлен новый ключ то в данном параметре можно указать где брать старый.

Параметры вызова (обязательные):

id_rsa.pub.old - старый публичный ключ, который нужно заменить.
id_rsa.pub.new - новый публичный ключ.
host list - файл со списком пользователей/серверов, где нужно заменить ключ, формат user@host или из ~/.ssh/config

user1@host1
user2@host2
user223@host4
my_predefined_host
blabla@eee

Также можно скачать скрипт

Ubuntu — Шифруем home и swap в Ubuntu 9.10 Karmic

Дмитрий Бекетов — Tue, 17 Nov 2009 10:18:03 +0000

При установке (K)Ubuntu 9.10 Karmic (alternate) на очередную виртуальную машину обратил внимание на вопрос системы о том, желаю ли я зашифровать домашнюю директорию, я конечно же ответил "Да". Но при этом вспомнил что у самого домашняя машина была установлена без данной опции (давно устанавливалась, ещё 8.10 кажется была). Вобщем решил и себе сделать "апгрейд", а заодно зашифровать home и swap разделы...

Стоит заметить, что, проще наверное было бы переустановить систему с включенной опцией шифрования, но это же не "gentoo way"
К тому же стандартная поставка использует для шифрования eCryptfs и не шифрует swap. В чём разница? Это два разных подхода - eCryptfs шифрует на уровне файлов, а LUKS это блочное устройство (/dev/sdb5). Это как SSL и IPSec. У каждого есть свои плюсы и минусы.

Так что инструкция только для ознакомления. Внимание, при неосторожных действиях вы можете потерять весь домашний раздел...вобщем, вы предупреждены.

Используя Linux Unified Key Setup (LUKS) установка шифрованного раздела происходит очень быстро.

Подготовка

Установим необходимые пакеты:

apt-get install cryptsetup libpam-mount

device-mapper должен быть активирован (если нет - перезагрузитесь):

ls -l /dev/mapper/

итого 0
crw-rw---- 1 root root 10, 60 2009-11-16 21:12 control

...с поддержкой шифрования:

dmsetup targets | grep crypt

crypt v1.7.0

Отлично. Всё готово, приступим.

Часть 1. Шифруем swap.

1) Отключаем swap.

swapoff /dev/sda5

2) Заполняем swap случайными данными.

dd if=/dev/urandom of=/dev/sda5 bs=1M

957+0 записей считано
956+0 записей написано
скопировано 1003450368 байт (1,0 GB), 179,14 c, 5,6 MB/c

Этот процесс занимает некоторое время...

3) настраиваем шифрованный swap.

Добавьте в /etc/crypttab

cryptoswap /dev/sda5 /dev/urandom cipher=aes-cbc-essiv:sha256,size=256,hash=sha256,swap

Почему /dev/urandom, а не /dev/random? Потому что последний остановит загрузку пока не накопит достаточно энтропии (нажатие на клавиши ускорит этот процесс), а urandom не остановит.

Далее нужно заменить запись swap в /etc/fstab:

/dev/mapper/cryptoswap none swap sw 0 0

При каждой загрузке swap будет шифроваться разным ключом.

4) Проверяем.

Для проверки нужно перезагрузиться.
Теперь у нас есть зашифрованный swap:

cat /proc/swaps

Filename Type Size Used Priority
/dev/mapper/cryptoswap partition 979924 0 -1

cryptsetup status cryptoswap

/dev/mapper/cryptoswap is active:
cipher: aes-cbc-essiv:sha256
keysize: 256 bits
device: /dev/sda5
offset: 0 sectors
size: 1959867 sectors
mode: read/write

Готово.

Часть 2. Создание и подключение зашифрованного home раздела.

Я выбрал путь минимальных разрушений и выделил для домашней директории новый раздел на который потом скопировал данные с текущего.

1) Заполним будущий home всякой всячиной:

dd if=/dev/urandom of=/dev/sdb5

4080385+0 записей считано
4080384+0 записей написано
скопировано 2089156608 байт (2,1 GB), 639,055 c, 3,3 MB/c

Это может занять очень много времени (в зависимости от размера нового диска)

cryptsetup -c aes-cbc-essiv:sha256 -y -s 256 luksFormat /dev/sdb5

WARNING!
========
Данные на /dev/sdb5 будут перезаписаны без возможности восстановления.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Команда выполнена успешно.

Мы используем шифр "aes-cbc-essi" т.к. дефолтный подвержен так называемой атаке "по следам" (Watermarking attack)

2) Создаём раздел

cryptsetup luksOpen /dev/sdb5 cryptohome

Enter LUKS passphrase:
key slot 0 unlocked.

Проверим что получилось

ls -l /dev/mapper/

итого 0
crw-rw---- 1 root root 10, 60 2009-11-16 23:02 control
brw-rw---- 1 root disk 252, 1 2009-11-16 23:38 cryptohome
brw-rw---- 1 root disk 252, 0 2009-11-16 23:02 cryptoswap

или так:

dmsetup ls

cryptoswap (252, 0)
cryptohome (252, 1)

3) Создадим файловую систему.

mkfs.ext4 -j -m 1 -O dir_index,filetype,sparse_super /dev/mapper/cryptohome

mke2fs 1.41.9 (22-Aug-2009)
Filesystem label=
OS type: Linux
Block size=4096 (log=2)
Fragment size=4096 (log=2)
127488 inodes, 509791 blocks
5097 blocks (1.00%) reserved for the super user
First data block=0
Maximum filesystem blocks=524288000
16 block groups
32768 blocks per group, 32768 fragments per group
7968 inodes per group
Superblock backups stored on blocks:
32768, 98304, 163840, 229376, 294912

Writing inode tables: done
Creating journal (8192 blocks): done
Writing superblocks and filesystem accounting information: done

This filesystem will be automatically checked every 37 mounts or
180 days, whichever comes first. Use tune2fs -c or -i to override.

4) Проверяем!

Начнём с того, что закроем раздел и откроем его заново, а затем примонтируем.

cryptsetup luksClose cryptohome
cryptsetup luksOpen /dev/sdb5 cryptohome

Enter LUKS passphrase:
Enter LUKS passphrase:
key slot 0 unlocked.
Команда выполнена успешно.

mkdir -p /mnt/cryptohome
mount /dev/mapper/cryptohome /mnt/cryptohome
touch /mnt/cryptohome/testfile
ls /mnt/cryptohome/

lost+found/ testfile

Также убедиться в работе можно посмотрев на вывод команды:

cryptsetup status cryptohome

/dev/mapper/cryptohome is active:
cipher: aes-cbc-essiv:sha256
keysize: 256 bits
device: /dev/sdb5
offset: 2056 sectors
size: 4078328 sectors
mode: read/write

Самое время скопировать текущий home на новый раздел.
После всего - размонтируем:

umount /mnt/cryptohome
cryptsetup luksClose cryptohome

5) Монтируем cryptohome при загрузке или при авторизации?

Теперь нужно сделать выбор. Можно монтировать раздел при загрузке системы, но тогда загрузка будет останавливаться и вам нужно будет каждый раз водить пароль. Если вы хотите чтобы раздел автоматически подключался при авторизации то пропустите этот пункт.

Избежать ручного ввода пароля можно сохранив ключ на usb носителе, как это сделать читайте тут (на английском).
Хотите включить подключение при загрузке?
Тогда добавьте в /etc/crypttab следующее:

cryptohome /dev/sdb5 none luks

и в /etc/fstab:

/dev/mapper/cryptohome /home ext4 relatime,errors=remount-ro 0 2

Если теперь вы перезагрузитесь то загрузка будет прервана с требованием ввести пароль LUKS. Если вы верно введёте пароль то подключится home раздел. Когда вы авторизуетесь то уже будете работать с шифрованным home.

Часть 3. Автоматическое подключение при авторизации.

Более элегантным будет подключение раздела при авторизации. Это подразумевает что у вас должен быть такой же пароль на вход, каким вы шифровали раздел. (На самом деле это не true и лучше было бы использовать внешний носитель для хранения ключа расшифровки но, в этой инструкции подразумевается что пароли одинаковые.)

1) Удаляем запись из /etc/fstab

Если в /etc/fstab есть запись для подключения зашифрованного раздела её нужно удалить:

/dev/mapper/cryptohome /home ext4 relatime,errors=remount-ro 0 2 # вот это нужно удалить

2) Изменяем /etc/crypttab

Убедитесь что в /etc/crypttab у вас записано именно это:

cryptohome /dev/sdb5 noauto luks

3) настраиваем pam_mount

Добавьте следующую строчку в /etc/security/pam_mount.conf.xml. Файл достаточно хорошо прокомментирован так что найти куда именно добавить не составит труда.

cipher="aes-cbc-essiv:sha256" path="/dev/sdb5" mountpoint="/home" />

Также нужно отредактировать ещё одну строчку таким образом:

wait="5000" hup="0" term="0" kill="yes" />

Это связано с тем, что при выходе не все процессы освобождают блокировку home от размонтирования.

4) Проверяем!

Входим и авторизуемся - у вас должен подключиться домашний раздел.

dmsetup ls

cryptoswap (252, 0)
_dev_sdb5 (252, 1)

и:

df -h

...
/dev/sdb5 2,0G 36M 1,9G 2% /home

Поздравляю. Теперь у вас есть зашифрованные swap и home.

Не забывайте делать бэкапы