SSH-ключи — фундамент доступа к Linux-серверам, но у этого подхода есть одна неприятная дыра: приватный ключ лежит обычным файлом на диске. Скомпрометировали рабочую станцию — через малварь, кражу ноутбука или просто «коллега заглянул не туда» — и всё, злоумышленник забирает ключ и получает доступ ко всем серверам разом. Passphrase немного усложняет жизнь атакующему, но не спасает: офлайн-перебор никто не отменял.
Аппаратный токен YubiKey закрывает эту проблему принципиально иначе. Приватный ключ генерируется внутри устройства и физически не может его покинуть. Можете хоть полностью потерять контроль над компьютером — без самого токена ключ не извлечь. Плюс YubiKey требует касания при каждой операции подписи. Это важно: даже если токен воткнут в USB и компьютер захвачен удалённо, без вашего пальца ничего не произойдёт.
Для SSH YubiKey поддерживает три протокола. FIDO2/WebAuthn (ключи ed25519-sk, ecdsa-sk) — встроен прямо в OpenSSH 8.2+, никакого дополнительного ПО не нужно. PIV (Personal Identity Verification) — эмуляция смарт-карты, работает через PKCS#11, совместим со старыми версиями OpenSSH. OpenPGP — подключается через gpg-agent как SSH-агент. Мы в большинстве проектов берём FIDO2: меньше всего движущихся частей, нативная поддержка, современный стандарт.
Оставить комментарий