İçeriğe Atla
Rehberler · 11 dk okuma · görüntülenme
100%

SSH + FIDO2: Phishing‑Resistant Admin Erişimi (Pratik Runbook)

OpenSSH security key (ed25519-sk) ile admin erişimini PIN + dokunma onayıyla güçlendirip, break‑glass senaryolarını bozmadan güvenli bir model kurma.

#security #ssh #fido2 #hardening #access #operations #linux
SSH erişiminde FIDO2 güvenlik anahtarı ve onay akışını anlatan kapak görseli

Admin erişiminde gerçek risk çoğu zaman “parola zayıf mı?” değil; phishing ve credential reuse. SSH tarafında da benzer: private key çalınırsa ya da agent forwarding yanlış kullanılırsa, lateral movement çok hızlı olur.

Buradaki pratik hamle: OpenSSH’nin security key desteğini kullanarak, admin erişimini FIDO2 anahtar + PIN + dokunma onayına bağlamak. Yani “private key dosyası” tek başına yetmesin.

SSH erişiminde FIDO2 güvenlik anahtarı ve onay akışını anlatan kapak görseli
FIDO2 ile SSH: anahtar + kullanıcı etkileşimi (PIN/dokunma) birleştiğinde phishing dayanımı artar.

Ön koşullar ve sınırlar

  • Client tarafında OpenSSH’nin “sk” (security key) desteği olmalı.
  • FIDO2 security key (YubiKey vb.) gerekiyor.
  • Bazı remote/otomasyon senaryolarında “dokunma” şartı nedeniyle dikkatli plan gerekir.

1) Client: FIDO2 destekli SSH anahtarı üret

Temel komut:

ssh-keygen -t ed25519-sk -f ~/.ssh/id_ed25519_sk_admin -C "admin-fido2"

Benim önerdiğim opsiyonlar:

  • PIN zorunlu olsun (verify required)
  • Resident key kullanacaksan bilinçli seç (kaybolma riskini yönet)

Örnek:

ssh-keygen -t ed25519-sk \
  -O verify-required \
  -f ~/.ssh/id_ed25519_sk_admin \
  -C "admin-fido2"

Bu, oturum açarken genellikle PIN + dokunma ister.

2) Server: public key’i ekle

Sunucuda ilgili kullanıcı için:

mkdir -p ~/.ssh && chmod 700 ~/.ssh
cat id_ed25519_sk_admin.pub >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

3) sshd hardening: adım adım sıkılaştır

/etc/ssh/sshd_config tarafında ben kademeli giderim:

  1. Önce FIDO2 key ile login’i doğrula
  2. Sonra password’u kapat
  3. Sonra root login’i kapat / kısıtla

Örnek (temsilî):

PubkeyAuthentication yes
PasswordAuthentication no
PermitRootLogin no
AuthenticationMethods publickey

Ardından:

sudo systemctl reload sshd

4) Operasyon: break‑glass modelini bozmadan tasarla

Benim sahada önerdiğim break‑glass ilkeleri:

  • Break‑glass hesabı ayrı ve çok az kişide olsun
  • Erişim “normal gün”de kapalı (ör. firewall allowlist + geçici kural)
  • Audit: her kullanım kaydı ayrı loglanır
  • Düzenli tatbikat: yılda 2–4 kez kontrollü test

FIDO2 için ek pratik:

  • Anahtar kaybolursa: ikinci anahtar (spare) ve onay süreci
  • PIN unutulursa: sıfırlama planı (çoğu anahtar reset ister)

5) Day‑2: agent forwarding ve sudo riskleri

FIDO2, girişte çok güçlüdür ama şunlar hâlâ risk:

  • ForwardAgent yes ile anahtarın başka hop’larda kullanılabilmesi
  • Sunucuda kötü niyetli süreçlerin sudo üzerinden genişlemesi

Benim pratik setim:

  • Admin bastion/management host kullan, forwarding’i default kapat
  • AllowUsers/AllowGroups ile erişimi daralt
  • sudo loglarını merkezi topla ve uyarı üret

6) Hızlı troubleshooting

Sık görülenler:

  • Client OpenSSH “sk” desteklemiyor → OpenSSH güncelle / doğru paket
  • Güvenlik anahtarı algılanmıyor → USB yetkisi / udev / macOS izinleri
  • PIN prompt gelmiyor → -O verify-required ile yeniden üret

Sonuç

SSH + FIDO2; admin erişimini “dosya anahtarı çalındı mı?” riskinden çıkarıp kullanıcı etkileşimi ile güçlendirir. Doğru kurgulanırsa hem phishing dayanımı artar hem de break‑glass refleksin bozulmaz. Anahtar nokta: rollout’u kademeli yap, otomasyon hesaplarını ayrı modelle yönet, ve tatbikatı süreç haline getir.

Paylaş:

Bu yazı faydalı oldu mu?

Yükleniyor...

Bu yazı nasıldı?

ME

Mustafa Erbay

Sistem Mimarisi · Network Uzmanı · Altyapı, Güvenlik ve Yazılım

2006'dan bu yana sistem mimarisi, network, sunucu altyapıları, büyük yapıların kurulumu, yazılım ve sistem güvenliği ekseninde çalışıyorum. Bu blogda sahada karşılığı olan teknik deneyimlerimi paylaşıyorum.

Kişisel Notlar

Bu notlar sadece sizde saklanır. Tarayıcınızda yerel olarak tutulur.

Hazır 0 karakter

Yorumlar

Sunucu Taraflı AI Moderasyon

Yorumlar sunucuda yapay zeka ile denetlenir ve kalıcı olarak saklanır.

?
0/2000

Sunucu taraflı AI denetim

Yeni yazılardan haberdar olun

Haftada bir yeni içerikler ve kaynaklar doğrudan e-postanıza gelsin.

Spam yok. Yalnızca yeni ve önemli içerikler için e-posta gönderilir.

Okuma İstatistikleriniz

0

Yazı Okundu

0dk

Okuma Süresi

0

Gün Serisi

-

Favori Kategori

İlgili Yazılar

Rehberler

OpenSSH CA ile Kısa Ömürlü SSH Sertifikaları

Paylaşılan bastion hesapları ve kalıcı anahtarlar yerine, denetlenebilir ve süreli SSH erişimi kurmak için OpenSSH CA yaklaşımı.

Rehberler

systemd Service Sandbox ile Sertleştirme (ProtectSystem, DynamicUser)

Uygulamayı değiştirmeden servisleri daha dar bir izin setine sıkıştırmak: dosya sistemi, capability, syscall ve ağ kısıtları.

Rehberler

Linux TCP Backlog ve SYN Flood Dayanıklılığı Runbook’u

SYN backlog/accept queue dolduğunda yaşanan connect timeout krizini triage etmek, hızlı mitigasyon yapmak ve kalıcı dayanıklılık tasarlamak için runbook.