GitHub SSH용 FIDO U2F 사용: 보안 키 사용

🔑 보안 키를 사용한 GitHub SSH 작업

FIDO U2F for GitHub SSH를 사용하는 이 글은 코드 업데이트를 GitHub 저장소로 전송하기 위해 보안 키를 설정하는 방법을 보여 줍니다.git는 버전 추적을 제공하고 인코딩 프로젝트의 협업을 협조합니다.GitHub은 현재 가장 유명한git repo 관리형 서비스입니다.최근 JAMstack의 흥행과 다른 추세 때문에 코드를 git 서비스에 제출하는 것은 지속적인 통합 과정에서 중요한 단계가 되었다.
SSH 암호 로그인이 PGP 키로 대체되면서 인증 기술도 발전했다.더 나아가 이제 FIDO U2F 보안 키를 사용하여 SSH 트랜잭션을 인증할 수 있습니다.추가 보안 기능은 제출할 때 USB 키가 당신과 함께 있어야 한다는 것입니다.이 문서에서는 GitHub에 보안 키를 설정하는 방법과 SSH 구성 설정에 대해 설명합니다.나는 이것이 네가 유용한 물건을 발견할 수 있기를 바란다.

😕 FIDO U2F란 무엇입니까?

FIDO U2F keys are hardware tokens used in Multifactor authentication . 2FA 인증 프로그램 코드와 마찬가지로 두 번째 요소 인증(2FA)도 제공한다. 비록 FIDO U2F 키는 인증 프로그램 프로그램 코드보다 낚시 공격을 받기 쉽지 않지만.예를 들어 FIDO U2F 키를 사용할 수 있을 때 FIDO U2F를 사용하고 이를 최선의 로그인 방법으로 사용해서 트위터, gmail, 페이스북, 심지어 GitHub 계정을 강화할 수 있습니다.일반적으로, 로그인할 때 USB 키를 삽입하려면, 그것을 눌러야만 로그인을 완성할 수 있습니다.FIDO U2F for GitHub SSH를 사용하여 밀어넣기와 가져오기를 보호하는 방법을 보실 수 있습니다.

⚙️ GitHub에 대한 SSH 보안 키 작성 방법

기존 FIDO U2F 키를 사용할 수 있지만 아직 키를 가지고 있지 않은 경우에는 하나를 구입해야 합니다.YubiKey는 많은 열쇠를 만들었는데, 그 중 일부는 다른 것보다 훨씬 비싸다.기본적이고 상대적으로 저렴한 보안 키 모델을 사용할 수 있습니다.너도 다른 브랜드를 사용할 수 있다.

다음 명령을 실행하여 호환 버전의 OpenSSH가 설치되어 있는지 확인합니다.

ssh -V

버전 8.2 이상이 필요합니다.macOS에서는 Homebrew에서 Openssh를 설치하여 최신 버전을 얻을 수 있습니다. 만약 macOS를 실행하지 않았다면 운영체제에 적용되는 패키지 관리자를 사용해서 설치하십시오.설치해야 할 수도 있습니다libfido2:

brew install openssh libfido2

무료 USB 포트에 FIDO U2F 키를 넣고 다음 명령을 입력하여 일회성 설정을 시작합니다.

ssh-keygen -t ecdsa-sk -f ~/.ssh/id_ecdsa_github_$(date +%Y-%m-%d) -C "Github key"

FIDO U2F 키가 깜박이기 시작하면 터치해야 합니다.그런 다음 프롬프트가 나타나면 암호를 입력합니다.이제 USB 키를 꺼낼 수 있습니다.더 많은 키와 호환되기 때문에 ECDSA 유형의 키를 사용합니다.ECDSA 키가 정부 기관과 연관되어 있기 때문에 일부 사람들은 상기ed25519-sk 대신 ecdsa-sk를 사용하는 것을 더 좋아한다.자신의 선택은 위협 모델과 키가 무엇을 지원하느냐에 달려 있다.

GitHub에 로그인하여 오른쪽 상단에 있는 이미지를 클릭하고 설정을 선택합니다.그런 다음 왼쪽 메뉴에서 SSH 및 GPG 키를 선택하고 새 SSH 키 버튼을 클릭합니다.

새 화면에서 제목에서 키를 식별할 수 있도록 도와줄 내용을 입력하십시오. 파일 이름을 공개 키로 사용하길 원할 수도 있습니다.그런 다음 터미널에서 다음 명령을 입력하여 공개 키를 가져옵니다.

cat ~/.ssh/id_ecdsa_github_$(date +%Y-%m-%d).pub

전체 출력을 복사할 수 있습니다. (이것은 sk ecdsa에서 시작하여 키로 Github 키를 설명하는 것으로 끝납니다.)GitHub 콘솔의 키 텍스트 상자에 붙여넣습니다.그런 다음 SSH 키 추가 버튼을 클릭합니다.

마지막으로 새 키를 테스트해 봅시다.FIDO U2F 키를 유휴 USB 포트에 넣고 테스트 명령을 실행합니다.

ssh -T github.com

프롬프트가 나타나면 암호를 입력합니다(키를 만들 때 입력한 암호).그런 다음 새 SSH 키를 만드는 것처럼 FIDO U2F 키가 깜박거리기 시작하고 해당 키를 터치하여 존재를 확인합니다.만일 모든 것이 순조롭다면, 너는 이런 메시지를 보게 될 것이다.

Hi rodneylab! You've successfully authenticated, but GitHub does not provide shell access.

When you are ready to, you can remove any existing SSH keys which you may no longer need.

끝맺다

몇몇 사람들에게best practices on SSH client keys see the Mozilla guide.

🔨 SSH 구성

로그인 방법을 강화하고 있기 때문에 SSH 구성도 강화할 수 있습니다.나는 이 설정을 바탕으로 한다 off Dr Duh's configuration.

# https://github.com/drduh/config/blob/master/ssh_config
# https://linux.die.net/man/5/ssh_config
Host github.com
  User git
  ControlMaster no
  IdentitiesOnly yes
  IdentityFile ~/.ssh/id_ecdsa_github_YYYY-mm-dd
  MACs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,[email protected]
Host *
  AddressFamily inet
  HashKnownHosts yes
  VisualHostKey yes
  PasswordAuthentication no
  ChallengeResponseAuthentication no
  StrictHostKeyChecking ask
  VerifyHostKeyDNS yes
  ForwardAgent no
  ForwardX11 no
  ForwardX11Trusted no
  ServerAliveInterval 300
  ServerAliveCountMax 2
  Ciphers [email protected],[email protected]
  MACs [email protected],[email protected]
  KexAlgorithms [email protected],diffie-hellman-group-exchange-sha256
  HostKeyAlgorithms [email protected],[email protected],ssh-ed25519,ssh-rsa

이것은 IPv6보다 IPv4 연결을 더 좋아하고 암호 로그인을 사용하지 않으며 허용되는 암호화 암호화와 메시지 인증 알고리즘을 제한하는 등 다른 강화 조치를 취한다.방금 만든 키의 경로와 일치하도록 7행의 GitHub 키 경로를 업데이트해야 합니다.3 – 8 행의 설정은 GitHub SSH 연결에만 적용됩니다.나머지는 다른 SSH 연결에 적용되기 때문에 사용자가 사용하는 다른 서비스와 함께 사용할 수 있도록 조정해야 할 수도 있습니다.이 새 설정을 사용하여 모든 연결을 테스트해야 합니다.

🙌🏽 GitHub SSH에서 FIDO U2F 사용: 우리가 무엇을 배웠는가

이 게시물에서 우리는 다음과 같은 것을 보았다.

GitHub SSH 작업에서 FIDO U2F 키를 사용하는 이유

GitHub에 대한 SSH 보안 키 생성 방법

견고한 SSH 구성

나는 정말 이 문장 중 적어도 조금은 너의 일에 사용할 수 있기를 바란다.더 보고 싶을지도 몰라GitHub's own documentation on setting up secure SSH keys.

🙏🏽 GitHub SSH용 FIDO U2F 사용: 피드백

너는 이 댓글이 유용하다고 생각하니?다른 주제의 댓글을 더 보고 싶으세요?새 게시물에 연락할 생각.그 밖에 만약에 제 작문 스타일을 좋아하신다면 저에게 연락을 주십시오. 만약에 제가 상담을 바탕으로 귀사 사이트를 위해 댓글을 쓸 수 있다면.계속 읽고 연락할 방법을 찾으세요. 자세한 것은 아래 문장을 보십시오.유사한 게시물을 지원하고 달러, 유로화, 파운드를 절약할 수 있다면 consider supporting me through Buy me a Coffee.
마지막으로, 당신의 소셜 미디어 계정에 이 글을 마음대로 공유해서, 당신의 모든 관심자들이 이 글을 매우 유용하게 생각하도록 하세요.아래에 댓글을 남기는 것 외에 트위터와askRodney on Telegram로 연락할 수 있다.관련 항목further ways to get in touch with Rodney Lab도 참조하십시오.나는 정기적으로 SvelteKit과 security-related topics에 글을 올린다.그리고 subscribe to the newsletter to keep up-to-date 우리의 최신 프로젝트.