Записки на память

Использование USB-брелоков Yubikey для ключей GPG и SSH [исправить]
Пример, как можно использовать USB-брелок Yubikey в качестве смарткарты для
хранения GPG-ключей и ключей для аутентификации на SSH-серверах.

Использование с GPG.

Подключаем Yubikey к порту USB и проверяем, что он определился:

gpg –card-status
…
Version ……….: 2.1
Manufacturer …..: Yubico

Для переноса GPG-ключа на брелок запускаем “gpg –edit-key идентификатор_ключа”
и выполняем в редакторе команду “keytocard” (внимание, закрытый ключ будет не
скопирован, а перенесён, т.е. удалён с локальной машины, поэтому нужно заранее
позаботиться о создании резервной копии).

Убедимся, что ключ переместился:

gpg –card-status | grep key

URL of public key : […]
Signature key ….: […] XXXX YYYY
Encryption key….: […] ZZZZ VVVV
Authentication key: […] AAAA BBBB
General key info..: sub rsa4096/QQQQQQ foobar@domain.tld

Для проверки создадим шифрованное сообщение и расшифруем его:

gpg –encrypt –output /tmp/message.txt.enc -r foobar@domain.tld /tmp/message.txt
gpg –decrypt /tmp/message.txt.enc

Настраиваем SSH-ключи.

Удостоверимся, что ключ аутентификации перенесён на Yubikey (“Authentication
key” в выводе “gpg –card-status”) и выполним экспорт открытого ключа SSH из Yubikey:

gpg –export-ssh-key 0xAAAABBBB

Далее, скопируем экспортированный ключ на SSH-сервер и настроим gpg-agent для
работы в роли агента SSH:

echo ‘enable-ssh-support’ >> ~/.gnupg/gpg-agent.conf

Перезапустим агенты GPG/SSH:

killall gpg-agent
killall ssh-agent
gpg-agent –daemon

Поменяем путь к сокету SSH_AUTH_SOCK на GPG. В ~/.bashrc:

export SSH_AGENT_PID=””
export SSH_AUTH_SOCK=$(gpgconf –list-dirs agent-ssh-socket)

Проверим, виден ли ключ SSH при подключении брелока:

ssh-add -l

4096 SHA256:XXXX cardno:0006064XXXX (RSA)

Всё в порядке, теперь при подключении к серверу SSH будет использовать ключ с брелока Yubikey.

The readme file for IKEv2 should be updated with the possibility to connect using CLI on a UBUNTU VPS. Here are the steps.

Установите зависимости

Установите Network manager и strongswan plugin

1
2

sudo apt update
sudo apt-get install network-manager network-manager-strongswan

Перезапустите network manager service

1

sudo systemctl restart NetworkManager

Импортируйте сертификаты

1
2
3
4
5
6
7

openssl pkcs12 -in CERTNAMEHERE.p12 -cacerts -nokeys -out ca.cer
openssl pkcs12 -in CERTNAMEHERE.p12 -clcerts -nokeys -out client.cer
openssl pkcs12 -in CERTNAMEHERE.p12 -nocerts -nodes  -out client.key
rm CERTNAMEHERE.p12

sudo chown root:root ca.cer client.cer client.key
sudo chmod 600 ca.cer client.cer client.key

Создайте соединение

Создайтк VPN соединение в NetworkManager и активируйте.

1

sudo nmcli c add type vpn ifname vpn-type strongswan connection.id VPN connection.autoconnect no vpn.data address = YOURSERVERADDRESSHERE, certificate = /root/ca.cer, encap = no, esp = aes128gcm16, ipcomp = no, method = key, proposal = yes, usercert = /root/client.cer, userkey = /root/client.key, virtual = yes

Запустите соединение

1
2
3

nmcli c up Wired connection 1
nmcli c up VPN
nmcli c

Если при обновлении с помощью команд

1
2

sudo apt upt update
sudo apt upgrade

вылезла ошибка.

Произошла ошибка при проверке подписи. Репозиторий не обновлён, и будут использованы предыдущие индексные файлы. Ошибка GPG:

1
2
3
4
5

https://repo.yandex.ru/yandex-browser/deb stable InRelease: Следующие подписи не могут быть проверены, так как недоступен открытый ключ: NO_PUBKEY 60B9CD3A083A7A9A

Не удалось получить https://repo.yandex.ru/yandex-browser/deb/dists/stable/InRelease Следующие подписи не могут быть проверены, так как недоступен открытый ключ: NO_PUBKEY 60B9CD3A083A7A9A

Некоторые индексные файлы скачать не удалось. Они были проигнорированы, или вместо них были использованы старые версии.

Надо обновить ключ Яндекс браузера

1

wget https://repo.yandex.ru/yandex-browser/YANDEX-BROWSER-KEY.GPG -O- | apt-key add -

потом выполнить команду

1
2
3

apt update  

apt upgrade