Der YubiKey kann für die Absicherung des Logins bei Windows-Clients verwendet werden, dabei muss der Benutzer neben seinem Benutzernamen und Passwort auch den YubiKey am PC anschließen und dessen Metallkontakte drücken. Werden beide Login Credentials vom System erkannt, wird der Login erlaubt und der Benutzer erhält Zugang zu seinem Benutzerkonto.
Eine Anmeldung an einem entfernten Server mit SSH ist im Linux-Umfeld zur Administration keine große Sache und schnell eingerichtet. Als Besitzer eines YubiKeys kann man das alles noch ein wenig effizienter und eleganter lösen.
Der YubiKey mit OpenPGP Smart Card Funktion wird zu Authentifizierung verwendet. Dabei wird aus dem GPG-Schlüssel ein öffentliche SSH-Schlüssel erstellt, der auf den entfernten Server in der Datei ~/.ssh/authorized_keys gespeichert wird.
Der YubiKey wird am Client angeschlossen und nach der Eingabe des PINs wird eine SSH-Verbindung zum Server hergestellt.
Das Besondere, einen privaten SSH-Schlüssel, der auf dem eigenen Client abgespeichert werden muss, gibt es nicht. Der private Schlüssel ist und bleibt auf dem YubiKey.
Die Anmeldung an einem Linux-Server ist mit einem YubiKey ohne die Eingabe eines Passworts möglich. Die Administration wird damit erheblich erleichtert und die Sicherheit erhöht.
Der Komfort ist einfach super! Bei der Anmeldung ist kein Passwort mehr einzugeben, sondern es ist lediglich der am PC angeschlossene YubiKey erforderlich.
In diesem Beitrag werden die erstellen Sub Keys auf einen YubiKey übertragen.
In diesem Beitrag werden ein paar hilfreiche Befehle zur Verwaltung und Wartung von Schlüsselpaaren.
Nach jeder Änderung an einem Schlüssel ist ein neuer 👉 Export zu erstellen. Es erfolgt keine automatische Anpassung der älteren Schlüssel, das ist alles manuell zu erledigen.
Es müssen auch alle Schlüssel auf YubiKeys oder anderen Systemen aktualisiert werden.
Barrier ist ein KVM-Open-Source-Programm mit dem man eine Tastatur und eine Maus an mehreren Clients in einem Netzwerk nutzen kann.
Die Schlüsselpaare sind erstellt und im Schlüsselbund in der virtuellen Box vorhanden. Nun sind noch ein paar Kleinigkeiten,
vorzunehmen.
In diesem Beitrag wird ein Master Key und drei Sub-Keys erstellt.
| Schlüsselart | Deutsch 🇩🇪 | Englisch 🇬🇧 |
|---|---|---|
| Hauptschlüssel | Hauptschlüssel | Master key |
| Sub-Key | Signaturnutzbarkeit (S) | sign capability (= S) |
| Sub-Key | Verschlüsselungsnutzbarkeit (V) | encrypt capability (= E) |
| Sub-Key | Authentisierungsnutzbarkeit (A) | authenticate capability (= A) |
Die Erstellung eines OpenPGP-Schlüsselpaares ist eigentlich recht schnell erledigt, wenn das Setup stimmt. Eine virtuelle Umgebung hilft!
Ich habe seit kurzem einen neuen YubiKey 5C NFC. In diesem Beitrag zeige ich, wie der Hardwaretoken eingerichtet und für die unterschiedlichen Anforderungen eingerichtet und konfiguriert wird.
Mittlerweile bieten fast alle großen Dienste eine Zwei-Faktor-Authentifizierung an. Neben Benutzername und Passwort wird ein weiterer, zweiter Faktor für die Anmeldung benötigt, der über eine App oder auch über einen Hardwaretoken, wie den YubiKey, erzeugt werden kann. Der weitere Faktor besteht meistens aus 6 Zahlen und hat jeweils eine Gültigkeit von 30 bis 60 Sekunden. Nach Ablauf der Zeit verliert er seine Gültigkeit und ein neues OTP wir benötigt, deshalb auch Einmalpasswort (= One-Time-Passwort).
Microsoft bietet seit einiger Zeit die Möglichkeit an, sich an Microsoft 365 mit einem Sicherheitsschlüssel, z.B. einem YubiKey, anzumelden. Das Hinzufügen der neuen Anmeldemethode ist sehr einfach und schnell erledigt und dauert nur ein paar Minuten.
Auf einem Synology NAS kann man sehr einfach in einen Git-Server installieren, dort bare-Repositories anlegen und dann können die unterschiedlichen Entwickler von unterschiedlichen Endgeräten Dateien pushen oder pullen.
Der Zugriff vom Client des Entwicklers auf das bare-Repository auf dem Synology NAS erfolgt ausschließlich über SSH und die Git-Befehle. Eine grafische Benutzeroberfläche, z.B. den Webbrowser, steht nicht zur Verfügung.
Hier im Blog habe ich bereits einige Beiträge zum Versand von Statusmeldungen und Dateien von einem Raspberry Pi verfasst. Damit auch Nachrichten an eine Empfänger-E-Mail versendet werden können, sind einige Pakete und ein paar Anpassungen erforderlich. Der Artikel zum Einrichten und Konfigurieren ist in die Jahre gekommen, deshalb gibt es ein Update.
Nextcloud bietet eine sehr gute Kalenderfunktion an, die umfangreiche Möglichkeiten für die Benutzer bietet. Es kann eine beliebige Anzahl von Kalendern anlegt und mit anderen Nextcloud-Benutzern geteilt werden. Die Synchronisation der Kalender ist auf jedes Endgerät, Windows, Linux, Android, MacOS, iOS, etc. dank der Nutzung von CalDAV und CardDAV problemlos möglich.