Раньше я всегда видел, как люди обсуждают эту вещь, а потом по прихоти собрал 10 кодов скидок (100), поехал на машине и купил 5 5 NCF и 5 5C NFC, включая меня, всего 7 человек, так что я; Хотите два 5, цена ниже плюс плата за перевод и плата за кодирование, разделенные поровну между всеми, составляют около 35 юаней при отправке, плюс дюжина юаней за экспресс-доставку.

Если копнуть глубже, то, честно говоря, я тоже этого не понимаю. Я порылся и собрал резюме. Возможно, что-то не так, я рад, что вы указали на это.

1. Инициализация

1. Сначала загрузите YubiKey Manager.

Официальный сайт скачать：https://www.yubico.com/support/download/yubikey-manager/

После скачивания и установки откройте его от имени администратора! Это фиолетовый~

Затем вставьте свой 5/5c

Вы можете видеть, что есть два столбца: Приложения и интерфейсы.

Interfaces

Вы можете настроить включение или отключение функционального интерфейса YubiKey, включая включение и отключение интерфейсов USB и NFC. Yubikey 5 NFC/Yubikey 5c NFC можно использовать одновременно в интерфейсах USB и NFC. Обычно USB используется для компьютеров и NFC. используется для мобильных телефонов (требуется, чтобы мобильные телефоны имели функцию NFC). Выбор за вами.

Applications

Есть три подопции OTP, FIDO2, PIV.

OTP

Имеется 2 слота. Слот 1 настроен по умолчанию, и его рекомендуется сохранить. Он имеет проверку Yubico OTP.

В слоте конфигурации 2 есть четыре варианта: Yubico OTP (сотрудничество с YubiCloud для облачной аутентификации), Challenge-Response (локальная аутентификация), Static Password (статический пароль) и OATH-HOTP (протокол OATH).

По нужным вам настройкам, если вы еще не знаете, пропустите настройки OTP.

FIOD2

Установите ПИН-код FIOD2 (ПИН-код FIDO2 не установлен по умолчанию, и при его использовании существует только 8 возможностей проб и ошибок)

Содержит не менее четырех символов. Длина не должна быть ограничена.

PIV

Установите PIN-код и PUK-код для функции PIV.

ПИН-код

PIN-код по умолчанию 123456, всего 3 возможности проб и ошибок; Можетнастраиватьиз ПИН-код Длина6-8персонажи。

PUK-код

PUK-код (код разблокировки ПИН-кода) используется, когда ПИН-код забыт. По умолчанию PUK-код составляет 12345678, длина настройки PUK-кода составляет 6-8 символов.

Как только все будет готово, просто помните PIV из PIN код (6-8 символов) и PUK-код(6-8 символов) ,FIDO2 изPIN Код (4 символа и выше). PIV ПИН-код Каждый большойвеб-сайтили применить привязку Авторизоваться Используется каждый раз。

Если вы забудете все три пароля, вы можете Reset Сброс этого YubiKey становится «новым», но это YubiKey Также больше нельзя будет использовать Авторизацию основных приложений веб-сайтов, которые вы ранее связали.

Сначала я напишу это, а позже исследую и обновлю, чтобы использовать на сервере, веб-сайте, компьютере и т. д. . .

2. Используйте

0. Двухэтапная верификация

Как мы все знаем, двухэтапная проверка на самом деле представляет собой строку токен, вы можете создавать резервные копии, импортировать и экспортировать в различные программы проверки. обеспечение,Например, аутентификация Google,носотовый Будет очень хлопотно, если телефон потеряется или его придется переустанавливать. Хотя недавно Google Аутентификация обновила облачную синхронизацию, но пользоваться ею оказалось не так просто. Друг увидел, что после завершения синхронизации он переустановил телефон и потерял много проверок при синхронизации.

На данный момент yubikey может решить эти проблемы,Экспорт токена в Google аутентификацию,и Импортировать в юбикей. конечно Вы можете импортировать в несколько yubikey.

Есть приложения для всех платформ,下载即Может。https://www.yubico.com/products/yubico-authenticator/

Вы можете обновить проверочный код при импорте из. Вам нужен трогатьюбикей?

ПК:

Если на компьютере нет камеры, импортируйте ее с помощью мобильного телефона или заполните ссылку QR-кода. Импорт выполнен успешно.

Сторона iOS:

Откройте приложение и нажмите три точки в правом верхнем углу, затем нажмите «Добавить учетную запись», чтобы отсканировать QR-код.

Переключатель ниже означает, что каждый раз, когда вы обновляете код подтверждения, вам нужно вручную прикасаться к юбикею. Затем нажмите Сохранить и он предложит положить юбикей в область nfc и записать его.

1. Вход на сервер по SSH

Прежде всего я узнал, что существует 4 метода: PIV, FIDO2, GPG и OTP. Я пока разбираюсь только в FIDO2 и OTP, с остальными не разобрался, подожду, пока меня научит начальник.

режим ФИДО2

ssh -V Версия #OpenSSH должна быть выше 8.1

а. Генерация открытого ключа В настоящее время emmm находит два метода.

Программное обеспечение a1 OpenSSH-Win64-v9.2.2.0

github https://github.com/PowerShell/Win32-OpenSSH/releases

людиизсетьдиск https://www.drive.ink/s/MxJsb

После установки Win+R cmd

входить

ssh-keygen -t ecdsa-sk

входитьтыизPIDO2 PIN Тот, в котором более 4 символов входить确定

连接到тыизсервер Посмотреть версию SSH сервера

ssh -V Версия #OpenSSH должна быть выше 8.1！！！！！！！！！！
cd ~/.ssh/    #Входить Оглавление
vim authorized_keys    #Нажмите i, чтобы редактировать  Вставьте в него содержимое файла .pub. Нажмите ESC входить:wqдержатьпокидать
vim /etc/ssh/sshd_config   #Уведомление Операция повышенного риска! 

PasswordAuthentication yes Изменить на PasswordAuthentication no #закрытиепароль Авторизоваться Оставьте только ключ Авторизоваться  После тестирования я доработаю его. Не переворачивайтесь! ! !

 
service sshd restart #Перезапустить службу 

Авторизоваться Здесь мы используем изтермиус Требуется Про версия Самотестирование другого программного обеспечения

Импортируйте файл (ключ) без суффикса «только что» в сертификат входа пароль держать.

Авторизоваться

конечно сотовый телефониспользоватьNFC也Может以Авторизоваться！

Сгенерировано в a2 Termius

прикоснись к нему

Нажмите «Экспорт на хост», чтобы импортировать открытый ключ на сервер одним щелчком мыши.

OTP-режим

Если вы случайно удалили заводской слот для карты (Slot 1) из OTP Сообщение было удалено. Пожалуйста, прокрутите вниз, чтобы просмотреть руководство по восстановлению! ! !

Установите Юбикей ПАМ

//Fedora/EPEL
yum update
yum install pam_yubico

Не нашли посылку?
//Установим исходный код epel
sudo yum install epel-release

//Ubuntu
sudo apt-get update && sudo apt-get upgrade
sudo add-apt-repository ppa:yubico/stable
sudo apt-get update
sudo apt-get install libpam-yubico

После установки трогать пустое место и ваш yubikey будет автоматически выводить 44-битные буквы.

Отрезаем первые 12 цифр Этот персонаж - вы из YubiKey token ID

Например cccsytocksuzpnlgvbjjozsbvfurebkrcubennvpygqe топ 12 cccsytocksuz

Создайте файлauthorized_yubikeys.

touch /etc/ssh/authorized_yubikeys

Редактировать этот файл Напишите вам изYubiKey token ID

Редактировать файл:
vi /etc/ssh/authorized_yubikeys

Формат:
<user name>:<YubiKey token ID1>  //Только один
<user name>:<YubiKey token ID1>:<YubiKey token ID2>  //В случае нескольких Yubikeyиз  Бесконечная суперпозиция

Пример：
root:cccsytocksuz  //Только один
корень:cccsytocksuz:root:cccsytocxwfs//Несколько

Получите информацию об API Открыть Yubico API Key Signup веб-сайт,входитьтыиз Почтаи Yubikey OTP Нажмите Get API key Зарегистрироваться Эту информацию, пожалуйста, сохраните Возможно использование в будущем

YubiKey OTP подключит вас к из5/5C трогать автозаполнение Пожалуйста, сохраняйте свою информацию надлежащим образом после ее создания.

Формат:

API Client ID：12345

API Secret Key：vLaYtMhNrIhXLcZgYy=

Редактировать системные файлы SSHD

vi /etc/pam.d/sshd

Добавьте следующий код:
auth required pam_yubico.so id=<client id> key=<secret key> authfile=/etc/ssh/authorized_yubikeys

Например：
auth required pam_yubico.so id=123456 key=vLaYtMhNrIhXLcZgYy= authfile=/etc/ssh/authorized_yubikeys

Редактировать файл конфигурации удаленного входа

vi /etc/ssh/sshd_config

Убедитесь, что следующие параметры такие:
UsePAM yes
PasswordAuthentication yes
PermitRootLogin yes
ChallengeResponseAuthentication yes 

Перезапустить SSHD

sudo systemctl restart sshd

Подключитесь к серверу:

трогатьиз металла автоматический Авторизоваться

конечносотовый телефон也Может以通ПроходитьNFCАвторизоваться

2. менеджер паролей bitwarden (хранилище)

Не самодельный? Самостоятельная Учебное пособие：https://cloud.tencent.com/developer/article/2285103

Пока игнорируйте вышеизложенное, если вы знаете, где оно находится.

Зарегистрируйте Юбикей API

Если вы случайно удалили заводской слот для карты (Slot 1) из OTP Сообщение было удалено. Пожалуйста, прокрутите вниз, чтобы просмотреть руководство по восстановлению! ! !

(Пожалуйста, пропустите этот шаг, если у вас есть) Открыть Yubico API Key Signup веб-сайт,входитьтыиз Почтаи Yubikey OTP Нажмите Get API key Зарегистрироваться。

YubiKey OTP подключит вас к из5/5C трогать автозаполнение Пожалуйста, сохраняйте свою информацию надлежащим образом после ее создания.

如果ты是自建из Тогда, пожалуйста, закройте контейнер и добавьте параметры YUBICO Пример

docker run -d --name bitwarden \
  --restart unless-stopped \
  -e SIGNUPS_ALLOWED=false \
  -e WEBSOCKET_ENABLED=true \
  -e YUBICO_CLIENT_ID=XXXXX \
  -e YUBICO_SECRET_KEY=XXXXXXXXXXXXXXXXXXXXXXXXXXX \
  -v /www/wwwroot/bitwarden/:/data/ \
  -p 4399:80 \
  -p 3012:3012 \
vaultwarden/server:latest

Нажмите После управления входитьхозяинпароль Входить

Щелкните мышкой внутри рамки трогатьyubikey Автозаполнение держать Поддерживает до пяти я купил два

使использоватьизкогда 插入трогать автоматическийвходитьпароль Входить

​

3、BitLocker

Компьютеры Win обычно используют это для шифрования системных дисков, дисков с данными и U-дисков.

Сначала создайте сертификат панель поиска поиск Открыть即Может

Это будет использоваться, когда пароль импортирует сертификат из

Импортировать в юбикей

Applications/PIV/Certificates

входитьтольконастраиватьиз Сертификатпароль

Если он не установлен Проверьте напрямую настраивать Просто передай этовходитьтынастраивать Проходитьизинформация

Добавлено успешно

Буква правого диска клавиатуры Управление BitLocker Добавить к уже настроенным дискам Новый или незашифрованный диск Просто выберите его при создании (не Baidu)

Тогда я не могу распознать смарт-карту

Решение:

Создать текстовый файл Вставьте следующий контент в Измените расширение на .reg. держатьбегать

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE]
"SelfSignedCertificates"=dword:00000001
"CertificateOID"="1.3.6.1.4.1.311.10.3.4"

Добавьте его еще раз, и все будет успешно.

使использоватьизкогда входитьтынастраиватьизPIV PIN (6-8 символов)

​

3、cloudflare

Входить Нажмите «Управление учетной записью» Включить 2FA Сначала вставьте юбикей

входить Счетпароль

Нажмитеподтверждать входитьFIDO2 пароль

снова трогатьюбикей Полная настройка

Заканчивать

Вы можете добавить несколько Время авторизоватьсяиз проверить, является ли изпароль FIDO2изпароль Тот, в котором более 4 символов

Восстановление OTP заводского слота карты (Слот 1)

я беруиз2Делатьиз演示 Вы можете просто выбрать 1 еще раз

Перейду в браузер Нет руководства по прыжкам https://upload.yubico.com/

Нажмите Upload 等待Заканчивать

проверять：https://demo.yubico.com/otp/verify