La mia azienda ha alcune dozzine di server ospitati su un provider cloud. Tutti tranne uno (host OpenVPN) sono chiusi a Internet. Utilizziamo OpenVPN AS che utilizza certs + Google Authenticator per l'accesso.
Siamo molto interessati alla sicurezza e vogliamo ridurre al minimo il potenziale danno in caso di infiltrazione dei computer di un nostro dipendente. A tal fine, abbiamo incaricato i dipendenti di bloccare le loro macchine personali tramite Yubico-PAM.
Voglio anche usare gli Yubikeys per l'accesso SSH. Ora, il Neo supporta le chiavi SSH / GPG tramite la sua JavaCard supporto. Mi piace questa opzione perché non richiede modifiche significative di nessuno dei nostri server esistenti, solo i loro file authorized_keys .
Ho anche visto l'integrazione di Yubico-PAM tramite password (digita password, touch yubikey). Questo è bello, ma non usiamo password, usiamo keyfile e, a meno che non ci sia un valido motivo di sicurezza per cambiare, preferirei mantenerlo in questo modo.
La terza opzione che ho visto è AuthenticationMethods nelle versioni più recenti di sshd ( altro qui ). Ciò consente di utilizzare correttamente una coppia di chiavi e Yubikey. Al login con una chiave corretta, l'utente viene invitato a premere il pulsante sul proprio yubikey. Sfortunatamente sembra che il server debba eseguire il ping su Yubicloud.
In entrambi i casi probabilmente creerei e interrogherò un server LDAP per l'autenticazione di Yubikey in modo che possiamo facilmente revocare / aggiungere chiavi senza dover ssh su ogni macchina.
A mio parere, la prima opzione è la migliore (generare chiavi su Yubikey Neo stesso), poiché richiede la configurazione minima dei nostri server, non si basa sul servizio di Yubicloud per impedire la riproduzione e non richiederebbe un server LDAP.
Qualcuno di voi ha integrato Yubikeys (o altri token hardware) nel flusso amministrativo? Se sì, quale metodo hai scelto e perché l'hai scelto?