Yubikeys＆SSH-ロックダウンに最適なオプションはどれですか？

私の会社には、クラウドプロバイダーでホストされている数十台のサーバーがあります。 1つを除くすべて（OpenVPNホスト）はインターネットに接続されていません。ログインに証明書とGoogle認証システムを使用するOpenVPN ASを使用しています。

私たちはセキュリティに非常に関心があり、従業員のコンピューターに侵入した場合の潜在的な損害を最小限に抑えたいと考えています。そのために、従業員にはYubico-PAMを介して個人用マシンをロックダウンするよう義務付けています。

SSHアクセスにもYubikeysを使用したいと思います。これで、Neo SSH/GPGキーをサポート のJavaCardサポートを介して。このオプションが好きなのは、既存のサーバーを大幅に変更する必要がなく、authorized_keysファイル。

私はまた、パスワードを介してYubico-PAMの統合を見てきました（パスワードを入力し、yubikeyにタッチしてください）。これはいいことですが、パスワードは使用せず、キーファイルを使用します。セキュリティ上の理由で切り替える必要がない限り、そのままにしておきます。

私が見た3番目のオプションは、sshdの最新バージョンではAuthenticationMethodsです（ 詳細はこちら ）。これにより、キーペアとYubikeyを適切に使用できます。正しいキーでログインすると、ユビキーのボタンを押すように求められます。残念ながら、サーバーはYubicloudをpingする必要があるように見えます。

どちらの場合も、LDAPサーバーを構築してYubikey認証を照会するので、すべてのマシンにsshを実行する必要なく、キーを簡単に取り消したり追加したりできます。

私の意見では、最初のオプションが最善です（Yubikey Neo自体でキーを生成します）。これは、サーバーの最小構成が必要であり、Yubicloudサービスに依存して再生を防止せず、LDAPサーバーを必要としないためです。 。

Yubikeys（またはその他のハードウェアトークン）を管理フローに統合しましたか？もしそうなら、あなたはどの方法を選びましたか、そしてなぜそれを選びましたか？