YubiKey NEO で Linux でも 2段階認証しよう!

  • 36
    いいね
  • 0
    コメント
この記事は最終更新日から1年以上が経過しています。

YubiKey NEO で Linux でも 2段階認証しよう!

先日、前から気になっていた YubuKey を手に入れました。
セキュリティ関連のハードウェアというと Linux でのサポートはどうなんだ?というところが気になる点です。
YubiKey は Linux もサポートしており、(むしろ Linux の方が柔軟)設定関連のソフトウェアも揃っています。

今回は YubiKey で何ができるのかも含めて紹介したいと思います。

YubiKey のタイプについて

尚、今回使用しているのは YubiKey NEO です。
外部サービスの2段階認証だけでなく抜き差しをする想定のため、NEO を使用します。
外部サービスの2段階認証のために使うのであれば抜き差しをあまり行わない nano でもいいかも知れません。
とはいえ U2F の機能があるものが良いと思います。

YubiKey はセキュリティで使用する設定をプログラムすることができます。
YubiKey には slot1, slot2 と設定を格納する場所が 2つあり個別に設定することができます。

U2F の機能は slot1 slot2 とは別の場所にプログラムされているので U2F 対応のものを使えば最大 3 種類の設定を扱うことができます。
slot1 と slot2 があると言いましたが、YubiKey を見えると切り替えスイッチのようなものが見当たりません。どのように slot1 と slot2 を切り替えて使うのでしょうか?
答えは「タッチする時間によって切り替える」です。0.5 〜 1 秒間タッチすると slot1、2 〜8 秒タッチすると slot2 の設定を使用します。slot2 を使う場合が触りっぱなしにしていた方が確実でしょう。8秒以上触っていると slot2 と判断し、入力が進みます。

事前準備

基本的なセキュリティ

YubiKey を使えばセキュリティはあがります。ですが YubiKey があってもマシンそのものは脆弱です。

  • USB ブートで別 OS から HDD がマウントされ YubiKey の設定が無効化された
  • HDD が取り出されて直接データが読み出されてしまった

などといった物理的な攻撃に対して YubuKey は無力です。
まず以下の対策を行いましょう。

  • パスワードは長いものを使用する
  • 設定、ブートオーダーなどを変えれないように BIOS にパスワードを設定する
  • 最悪 HDD 自体をとり出されても良いようにファイルを暗号化する

YubiKey があっても万が一に備え、上記の対策は必ず行うようにしましょう。
基本的に、YubiKey は 2 段階認証として使うので認証の片方であるパスワードもそれなりに強固にしておくべきでしょう。
(もちろん運用ルールにもよります)

ただ、YubiKey の設定をいろいろやっている際に、設定を間違えログインできなくなることが多々あります。その際は USB などから別OSを立ち上げるのですが、その際 BIOS パスワードを入れるのが煩わしい場合があります。設定が安定した後、BIOS のパスワードをかけても良いかも知れません。

カスタマイズソフトウェアのインストール

YubiKey NEO の場合、出荷時は slot1 に OTP、slot2 は空き、U2F は有効となっています。
外部サービスの 2段階認証として使う場合には基本的に何もソフトウェアはインストールしなくても事足りるかも知れません。

少しでもカスタマイズしたい場合には設定用のソフトウェアをインストールする必要があります。
今回は サーバーの2段階認証の導入などもやってみようと思いますので PAM Module などをインストールします。

今回の使用する環境は Arch Linux です。多くのディストリビューションでもそうですが、YubiKey のソフトウェアはほとんどパッケージ化されており、インストールもそこまで大変ではありません。

まず、personalization tool を入れましょう。

$ packer -S yubikey-personalization yubikey-personalization-gui yubikey-neo-manager

今回使用しているバージョンは以下です。

  • yubikey-neo-manager 1.3.0-2
  • yubikey-personalization 1.17.1-2
  • yubikey-personalization-gui 3.1.21-2

依存関係で問題がある場合にはそれらを先にインストールしてから再度インストールしてください。
設定を行うツールである Personalization Tool を立ち上げてみましょう。

$ yubikey-personalization-gui

を実行し、Personalization Tool が立ち上がることを確認しましょう。
YubiKey を差し込んで YubiKey is Inserted と表示されることを確認しましょう。

初期設定の確認

YubiKey NEO の場合、全機能使用することができます。
YubiKey を挿し、yubikey-personalization-gui を起動し初期設定を確認しましょう。

NEO の場合、画面右側のfeature に全てチェックが入っていると思います。
また slot1、slot2 に設定があるかも表示されます。

以下がメニューです。

  • Yubico OTP
  • OATH - HOTP
  • Static Password
  • Challenge - Response
  • Settings
  • Tools

全体的な設定は Settings になります。
OTP などの設定は複雑なところもあるので設定自体に Quick と Advanced の 2 モード用意されています。とても親切ですね。設定は最終的にどちらの slot に設定するかを決めて書き込みます。

初期設定は slot1 に OTP の設定があります。もし、slot2 に設定を追加したい、slot1 の設定を書き換えたい場合にはこの yubikey-personalization-gui を使って変更します。

mode

YubiKey には slot に設定する設定の他に mode というものがあります。
U2F が slot と別の場所に設定されていると言いましたが、それが mode になります。
出荷時は OTP+U2F という mode になっています。
もし、あなたが PGP の鍵を YubiKey に埋め込みたい場合には mode を変更する必要があります。

U2F をサポートしている YubiKey NEO の場合、mode は 3 つになります。

  • OTP
  • CCID
  • U2F

mode 変更するには yubikey-neo-manager を起動します。

$ neoman

起動すると Change Connection mode [OTP+U2F] と表示されているはずです。
CCIDをサポートしたい場合にはここで mode を変更してください。

Google など外部サービスの 2 段階認証で YubiKey を使う

では早速 Yubikey を使っていきたいと思います。
尚、U2F が使える場合はなるべく U2F を使っていく前提となっています。

Google

Google に関してはドキュメントなどもありますのでそちらを参考にしてください。

基本的には、「ログインとセキュリティ」 → 「2 段階認証プロセス」へ行きセキュリティキーを追加するだけです。
入力はありません。キーを挿してタッチするだけです。非常に楽ですね。

参考
http://qiita.com/yugui/items/382275bb04c3fad09ff7

Dropbox

Dropbox も U2F に対応しています。
同様にアカウントの設定から 2 段階認証プロセスでキーを設定します。

参考
https://blogs.dropbox.com/dropbox/2015/08/u2f-security-keys/

Yubico Authenticator

その他、2 段階認証には Google 認証システムを使うものがあります。
Yubikey NEO であればGoogle 認証システムの代わりに Yubico Authenticator を使うことができます。

Yubico Authenticator は OTP 生成のシード値などを NFC を使い Yubikey 側から読み取ります。
OTP のシード値がローカルに保存されていないスマートフォンのセキュリティホールを突かれてもシード値が盗まれることはありません。

Yubico Authenticator は YubiKey 側とデータをやりとりするために NFC を使います。
Yubico Authenticator を起動し、YubiKey を端末にタッチすることで初めてコードが表示されます。YubiKey をタッチしない状態では何も表示されません。

その他、Yubico Authenticator の基本的な使い方は Google 認証システムの使い方とほぼ同じです。
QRコードを読み込んで設定を追加していきます。
追加時も YubiKey をタッチしないと追加されません。そのため、不正なエントリを追加することも難しくなっています。

参考

https://developers.yubico.com/yubioath-android/
https://developers.yubico.com/yubioath-desktop/

PAM を使った 2 段階認証

ここからが本題です。
ここまででも十分便利ですが、さらにあなたのマシンへのログイン、操作に対してもYubiKey で認証をかけ 2 段階認証にすることができます。
基本的には PAM を使うだけです。ここでは PAM について詳しくは触れません。

ではインストールしましょう。

$ packer -S yubico-pam pam_u2f

依存ライブラリもパッケージ化されていますので足りない場合は適時インストールして下さい。
今回使用しているバージョンは以下です。

  • yubico-pam 2.19-2
  • pam_u2f 1.0.1-1

これらの PAM Module やライブラリは Yubico 側が OSS として公開しています。
ディストリビューションによっていは共有ライブラリが PAM Module を読み込むディレクトリ
にインストールされていないかも知れませんので確認して下さい。

インストールが済んだら設定を行います。

Yubico PAM Module (OTP) を使った認証

まずは yubico_pam を使い OTP での認証を設定してみましょう。
ログイン時にパスワードの他に、YubiKey による OTP での認証を行い、2段階認証にします。

PAM の設定

PAM の設定は /etc/pam.d にあるファイルに記述します。

今回は認証部 /etc/pam.d/system-login に設定します。
ディストリビューションによってファイル名は変わると思います。
以下の行を追加して yubico_pam を読み込むようにします。

例:

auth      sufficient pam_yubico.so  id={Your ID} key={Your Key} authfile=/etc/yubikey_mappings

オプションについては参考URLを参照して下さい。
今回は authfile を指定して、各ユーザーの設定をまとめます。

yubico_pam は認証サーバーも置き換えることができますがここでは割愛します。
基本的には Yubico の提供しているサーバー、YubiCloud を使用すれば良いと思います。

id, key はあなたのキーを識別するための Client ID を入れます。
デフォルトの YubiCloud を使う場合には以下の URL から入手することができます。

https://upgrade.yubico.com/getapikey/

その他の詳細な設定についてはドキュメントを参照してください。

https://developers.yubico.com/yubico-pam/

認証用マッピングファイルの作成

次にシステム上のどのユーザーがどの YubiKey を使うのか、ユーザーと YubiKey のトークンを紐付ける設定を行います。
設定はシステム全体(全ユーザーで 1 ファイル)と個別(/home//)に設定する方法があります。
今回は全ユーザーで 1 ファイルに設定します。

設定は passwd ファイルのような形式で記述します。

/etc/yubikey_mappings

<first user name>:<Yubikey token ID1>:<Yubikey token ID2>:….
<second user name>:<Yubikey token ID3>:<Yubikey token ID4>:….

Yubikey Token ID とは OTP で出力される文字列の先頭12文字です。
YubiKey OTP は 44 文字のパスワードを生成します。そのうちの先頭12文字は固定になっています。その部分が Token ID となります。

ターミナルを開き、 YubiKey にタッチすると OTP の文字列が入力されます。その先頭12文字をコピーしてください。

$ cccccccgklgcvnkcvnnegrnhgrjkhlkfhdkclfncvlgj
bash: cccccccgklgcvnkcvnnegrnhgrjkhlkfhdkclfncvlgj: command not found

よくわからない場合は以下の URL から確認することができます。
以下の Modhex Calculatorサ イトで OTP を選択し、YubiKey をタッチして OTP を生成し、送信します。
結果の以下の部分があなたの YubiKey の Token ID になります。

`Modhex encoded: XXXXXXX`

Modhex Calculator:
https://demo.yubico.com/php-yubico/Modhex_Calculator.php

YubiKey を複数持っている場合には、: で区切り複数設定することも可能です。

個別でマッピングファイルを作成する際の注意

個別の設定は /home/<your>/.yubico/authorized_yubikeys に設定します。
これは場合によってはうまく動かないかも知れません。Ubuntu などのファイルの暗号化は /home/ 配下を暗号化する方法です。認証時には /home 以下はまだ暗号化されており、設定ファイルが読み込めない可能性があります。設定、運用ポリシーに合わせ、個別設定を使用するか検討してください。

SSH + OTP を使った 2段階認証

ssh で認証する際にも 2 段階認証を設定することができます。
なんらかの原因で鍵が盗まれても YubiKey がないとログインできないよう設定することができます。

SSH で 2 段階認証するには OTP を入力するため、設定を変更する必要があります。
設定例を以下に示します。

/etc/pam.d/sshd

auth      required pam_yubico.so  id=xxxxxx key=xxxxxxxxxxxxxxxxxxxxxx authfile=/etc/yubikey_mappings  
auth      include   system-remote-login
account   include   system-remote-login
password  include   system-remote-login
session   include   system-remote-login

/etc/ssh/sshd_config 一部抜粋

...
UsePAM yes
PasswordAuthentication no
ChallengeResponseAuthentication yes
AuthenticationMethods publickey,keyboard-interactive
...

重要なのは PAM を有効化する、ChallengeResponseAuthentication を有効化する(トークンを入力するため)、AuthenticationMethods を正しく設定する点です。
設定すると以下のように 2 段階認証になります。
YubiKey をタッチし、O入力すると認証が通ります。

$ ssh -YC ma2@xxxxxxx
Authenticated with partial success.
YubiKey for `ma2':

Challenge Response を使ったローカル認証

OTP を使う方法の欠点はオンラインではないと認証できない点です。
ラップトップ環境などネットワークがあるかどうかわからない場合でもローカル認証することができます。
Challenge Response を使った場合はタッチするなどのアクションは不要です。
YubiKey が刺さっていない限り認証が失敗します。

PAM の設定

Challenge Response を使用する場合には mode を設定する必要があります。
modechallenge-response を設定し、 challenge file のパスを設定します。

例:

auth      sufficient pam_yubico.so  mode=challenge-response chalresp_path=/etc/yubico

その他の詳細な設定についてはドキュメントを参照してください。

https://developers.yubico.com/yubico-pam/

Challenge-Response をプログラムする

YubiKey に Challenge-Response を使うようにプログラムします。
例では slot2 に設定しています。

$ ykpersonalize -2 -ochal-resp -ochal-hmac -ohmac-lt64 -oserial-api-visible
...
Commit? (y/n) [n]: y
$

Challenge File の作成

次に challenge file を作成します。

$ mkdir $HOME/.yubico
$ ykpamcfg -2 -v
...
Stored initial challenge and expected response in '/home/user/.yubico/challenge-123456'.
$

PAM の設定で chalresp_path を設定しない場合はこのパスのファイルを使用します。

システムで集中管理する場合には PAM で設定したパスに challenge file を移動させます。

$ mkdir /etc/yubico
$ chmod +t /etc/yubico
$ chmod 777 /etc/yubico
$ mv /home/user/.yubico/challenge-####### /etc/yubico/username-#######
...

これでローカル認証できるようになります。

例えば PAM で sudo に Challenge Response を設定した場合、パスワードが正しくても YubuKey が刺さっていない限り認証が通らなくます。

pam_u2f を使った認証

ローカル認証にはもうひとつ FIDO U2F を使う方法があります。
Challenge-Response では slot をひとつ潰してしまいますが、U2F は slot を消費せず使うことができます。

pam_u2f の設定

pam_u2f の設定例を以下に示します。
基本的にな使い方をする分には yubico_pam と同様そんなに設定することはありません。

auth       required   pam_u2f.so           authfile=/etc/u2f_mappings

場合によっては cue オプションを設定した方が良いかも知れません。
pam_u2f はデフォルトで YubiKey にタッチしてなどのメッセージを表示をしません。
(YubiKey は点灯しますが)
そのため、入力待ちになっているかどうかがわからない事があります。
gdm などではパスワード入力のテキストボックスが表示されません。

yubico_pam 同様に詳細にカスタマイズすることも可能です。
その他の設定については以下を参照して下さい。

設定など:
https://developers.yubico.com/pam-u2f/

認証用マッピングファイルの作成

OTP の時と同様にマッピングファイルを作成します。
OTP と同様システム全体で 1 つのマッピングファイルを使用します。

/etc/u2f_mappings

フォーマットは以下のようなフォーマットになります。

<username1>:<KeyHandle1>,<UserKey1>:<KeyHandle2>,<UserKey2>:...
<username2>:<KeyHandle1>,<UserKey1>:<KeyHandle2>,<UserKey2>:...

デフォルトの設定であれば KeyHandle, UserKey は以下のコマンドで生成できます。

$ pamu2fcfg -u <username>  

生成された KeyHandle, UserKey のセットを記述します。
これで設定完了です。

PAM の設定で sudo に設定し、cue オプションを有効にした場合は以下のように表示されます。

$ sudo ls
Please touch the device.

YubuKey を抜いたらスクリーンロックする

その他にもこのようなことができるという一例を紹介したいと思います。

YubiKey で認証を 2 段階にしたのはいいですが、ログインしている状態では全てのリソースに触れてしまいます。
離席時などにもガードをかけれるように YubiKey が抜かれたら、スクリーンロックをかけ、再度認証が必要になるよう設定します。
スクリーンロックからの回復は通常のログインと同じです。
2 段階認証を設定していればYubiKey がないとロックが解除できません。

シリアルキーの確認

では設定をしてみます。
YubiKey にはそれぞれキーに特有のID、シリアルキーが存在しています。
まずあなたの YubiKey が抜かれた場合のみロックがかかるようにするため、 YubiKey の情報を確認します。

以下のコマンドを実行し、 YubiKey を抜き差しして下さい。

$ udevadm monitor --environment –udev

その中に ID_SERIAL_SHORT があるか確認して下さい。
その値があなたの YubiKey の背面に書かれているキーと一致するか確認して下さい。

シリアルキーが表示されない場合

シリアルキーが表示されない場合は yubikey-personalization-gui を起動して表示できる
ように設定します。

yubikey-personalization-gui を起動したら Settings を選択し、USB descriptor にチェック
を入れ設定をどちらかの slot に保存します。
再度上記の手順で確認すると ID_SERIAL_SHORT が表示できていると思います。

ロックをかける

あとは ID_SERIAL_SHORT を含めた条件で udev のルールを記述します。

/etc/udev/rules.d/85-yubikey.rules

# Yubikey Udev Rule: running a bash script in case your Yubikey is removed
ACTION=="remove", ENV{ID_VENDOR_ID}=="1050", ENV{ID_MODEL_ID}=="0116", ENV{ID_SERIAL_SHORT}=="00000000000", RUN+="/usr/local/bin/yubikey-lock"

上記では YubiKey が抜かれると yubikey-lock のスクリプトが呼ばれます。
スクリプト内でロックするように設定します。
デスクトップ環境によってロックの方法が変わります。
例は GNOME3 の場合です。

/usr/local/bin/yubikey-lock

#!/bin/bash

user=`ps aux | grep -v root | grep gdm-x-session | head -n 1 | awk '{print $1}'`
sessionid=`/bin/loginctl list-sessions | grep ${user} | awk '{print $1}'`

if [ -z "$(lsusb | grep Yubico)" ]; then
    logger "YubiKey Removed"
    /bin/loginctl lock-session $sessionid
fi

これで設定完了です。
YubiKey が抜かれるとロックスクリーンが表示されるようになります。
PAM に設定で system-login に required で設定すれば YubiKey が無い以上パスワードがあっていようとも認証は必ず失敗します。

最後に

ざっと簡単に YubiKey の使い方、設定を紹介してみました。
YubiKey を使い始めて思ったことは思った以上にカスタマイズ可能でかつカジュアルに扱えるという点です。
私は U2F、 slot1 に OTP, slot2 に Static-Password を設定して使っています。

次回は PGP 鍵を YubiKey に埋め込み SSH 鍵として使用する方法を紹介したいと思います。