55694 2025-08-22 12:32:30 +0300 Настройка OpenSSH доступа по Рутокен MFA 2025-08-28 13:53:19 +0300 1 1 4 Development Sisyphus openssh unstable x86_64 Linux CLOSED FIXED P5 normal --- 1 it.kkx glebfm glebfm glinkinvd it.kkx ldv vt qa-sisyphus oldest_to_newest 271269 0 it.kkx 2025-08-22 12:32:30 +0300 Пытаюсь настроить OpenSSH доступ по Рутокен MFA по инструкции https://dev.rutoken.ru/pages/viewpage.action?pageId=150241427. Делаю по инструкции, но возникает ошибка: # fido2-token -L /dev/hidraw1: vendor=0x0a89, product=0x0093 (Aktiv Co. FIDO) # ssh -V OpenSSH_9.6p1, OpenSSL 3.3.3 11 Feb 2025 # ssh-keygen -t ecdsa-sk Generating public/private ecdsa-sk key pair. You may need to touch your authenticator to authorize key generation. ssh-sk-helper: No FIDO SecurityKeyProvider specified ssh-keygen: Key enrollment failed: invalid format С чем это связано и как исправить? Операционная система: ALT Linux 11 Версия KDE Plasma: 6.3.5 Версия KDE Frameworks: 6.14.0 Версия Qt: 6.8.2 Версия ядра: 6.12.41-6.12-alt1 (64-бита) Графическая платформа: X11 Процессоры: 8 × 13th Gen Intel® Core™ i3-13100 Память: 62,4 ГиБ ОЗУ 271284 1 it.kkx 2025-08-22 15:28:06 +0300 Необходимо отметить, что при описанной ранее проблеме рутокен mfa без проблем позволяет защитить аккаунты в веб-сервисах, поддерживающих спецификацию WebAuthn, в частности в mail.ru (https://dev.rutoken.ru/pages/viewpage.action?pageId=155942942). Также выполнение рекомендаций не исправило проблему: Чтобы Рутокен MFA мог работать в системах GNU/Linux: Откройте терминал и введите команду: sudo nano /lib/udev/rules.d/70-u2f.rules Затем введите строки: #Rutoken KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="0a89", ATTRS{idProduct}=="0093", TAG+="uaccess" Сохраните файл. Для этого нажмите Ctrl + O или F3. 271459 2 glinkinvd 2025-08-26 17:15:46 +0300 Здравствуйте! Подтверждаю вашу проблему при создании ключей. > ssh-sk-helper: No FIDO SecurityKeyProvider specified Нужна внешняя библиотека для поддержки U2F/FIDO, переданная в SSH_SK_PROVIDER=<путь> либо встроенная поддержка в openssh. В 2019 году такая библиотека была добавлена в libfido2 - https://github.com/Yubico/libfido2/commit/601565cbfab772e4adda2d6de1d7f46e9d913193 В 2020 году она была удалена из libfido2 - https://github.com/Yubico/libfido2/commit/2ba6c6afe5f2d1717bf366da043ccb515fbed8de с комментарием "the openssh middleware now lives with openssh itself" В репозитории openssh собран без опции security_key_builtin, что отключает встроенную поддержку U2F/FIDO: %def_without security_key_builtin 271490 3 repository-robot 2025-08-27 16:10:05 +0300 openssh-9.6p1-alt4 -> sisyphus: Wed Aug 27 2025 Anton Zhukharev <ancieg@altlinux> 9.6p1-alt4 - NMU: Enabled FIDO2 security key support (ALT#55694). 271546 4 it.kkx 2025-08-28 13:53:19 +0300 спасибо! Все работает. $ ssh-keygen -t ecdsa-sk -O resident Generating public/private ecdsa-sk key pair. You may need to touch your authenticator to authorize key generation. Enter PIN for authenticator: You may need to touch your authenticator again to authorize key generation. Enter file in which to save the key (/home/user_name/.ssh/id_ecdsa_sk): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/user_name/.ssh/id_ecdsa_sk Your public key has been saved in /home/v0lk/.ssh/id_ecdsa_sk.pub The key fingerprint is: SHA256:Ri8gdbfCDxt4alt/enF0+GvOYR9uRdE3yj0SFYrNQ1U v0lk@intel-v The key's randomart image is: +-[ECDSA-SK 256]--+ | . . . .o+E| | . + . .=..oo| | . o B ...=+.+| | . = B ++oo| | o S o ..+.| | . + o . . o| | . . .o +o| | o. +++| | .. ++.| +----[SHA256]-----+