不要裸奔！利用USB密钥YubiKey认证服务器登陆

服务器上有着重要数据，同时服务器带公网IP，全天24小时暴露在公网上，随时可能被黑客盯上，所以服务器的安全至关重要。

一、SSH登陆认证

Linux服务器通过SSH可以进行远程登陆，登陆的时候认证方式一般采用的是密码认证，其实这个十分不安全。建议采取SSH密钥对方式认证，或者使用下面将尝试的USB安全密钥认证。

二、启用USB密钥YubiKey登陆认证

YubiKey

是Yubico公司开发的一款非常棒的USB密钥。亚马逊或者咸鱼上可以购买。

服务器设置

相比SSH密钥对认证方式，USB安全密钥要配置的东西多些。
1. 安装依赖

sudo apt-get update
sudo apt-get install libpam-yubico

2. 修改passwd文件

echo "root:YubiKey token ID" >> /etc/passwd

将Yubikey token ID替换掉。token ID是12位字符串，可以用带NFC功能的手机读取YubiKey信息，取#符号后的字符（44位）的前12位。

3. 创建Mapping文件

echo "root:YubiKey token ID" >> /var/yubico_passwd

4. 设置PAM，调用Mapping文件
编辑文件/etc/pam.d/sshd，新增

auth required pam_yubico.so id=CLIENT_ID debug authfile=/var/yubico_passwd

将CLIENT_ID替换掉。在Yubico官网申请API，获取CLIENT_ID： https://upgrade.yubico.com/getapikey
5. 修改sshd_config文件 /etc/ssh/sshd_config

PubkeyAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication yes
PasswordAuthentication no
UsePAM yes

6. 重启SSH服务
确保当前网络连接稳定，且重启后不要关闭当前会话，可以打开别的连接并尝试能否用USB密钥完成认证。确保能完成认证后，才可决定是否关闭当前会话。

sudo service ssh restart

三、SSH客户端尝试登陆

博主使用的是Termius客户端。客户端不用设置什么，直接连接，弹出认证窗口，插入USB并触摸USB上触点，利用USB密钥进行认证登陆

四、一些参考

1. Yubico PAM module https://developers.yubico.com/yubico-pam/
2. YubiKey Support https://docs.termius.com/termius-handbook/yubikey-support