Ostatni tydzień przyniósł wyjątkową dynamikę w świecie cyberbezpieczeństwa – ataki na łańcuchy dostaw (supply chain), nowatorskie kampanie ransomware i masowe nadużycia tokenów OAuth dotknęły nawet liderów rynku jak Salesforce, Google i Citrix. Pojawiły się też nowe typy zagrożeń, w których cyberprzestępcy wykorzystują automatyzację oraz AI do eskalacji ataków, omijania zabezpieczeń SaaS, kradzieży danych na skalę masową i szantażowania ofiar. Dostrzegalnym trendem jest także szybka eksploitacja krytycznych podatności typu zero-day (np. CVE-2025-7775) oraz szeroko zakrojona automatyzacja fazy ataku.

Najnowsze zagrożenia w cyberprzestrzeni: złośliwy moduł Go ukrywa się pod maską narzędzia do brute-force SSH, wykradając dane użytkowników i przesyłając je przez Telegram. Tymczasem cyberprzestępcy wykorzystują luki bezpieczeństwa w GeoServer i exposed Redis do tworzenia botnetów IoT, proxy i infrastruktury do kopania kryptowalut, przy czym ataki o wysokim współczynniku CVE-2024-36401 osiągnęły aż 9,8 w skali CVSS.

Najnowszy wyciek danych w pracy HR-gianta Workday pokazuje, jak poważne zagrożenia niosą cyberataki na korporacyjne systemy, mimo że firma nie potwierdziła jeszcze naruszenia systemów klientów. W tym samym czasie eksperci ostrzegają przed rosnącym zagrożeniem ze strony złośliwych pakietów w ekosystemie open-source, takich jak PyPI czy npm, które mogą prowadzić do poważnych ataków łańcuchowych. Niepokojące informacje napływają też z analogicznych zagrożeń związanych z lukami w produktach bezpieczeństwa od Fortinet, oraz o zaskakujących metodach wywiadowczych, takich jak amerykańskie trackery w przesyłkach chipów AI. Wśród zagrożeń coraz częściej pojawia się także wyzwanie związane z nadzorem nad globalnymi atakami ransomware i zaawansowanymi kampaniami spear-phishing, które mogą dotknąć nawet największe firmy jak Workday czy Salesforce.

Ostatni tydzień przyniósł szokujące informacje o szeroko zakrojonych cyberatakach i lukach w bezpieczeństwie na globalną skalę. Zaawansowane grupy hackerskie, takie jak Kimsuky z Korei Północnej czy rosyjskie RomCom, wykorzystują nowoczesne narzędzia i exploity, m.in. w WinRAR czy Fortinet VPN, aby siać chaos i wykradać miliardy danych.

W międzyczasie lawinowo rośnie liczba ataków na infrastrukturę krytyczną, a państwa i przedsiębiorstwa próbują się bronić przed rosnącym zagrożeniem ransomware, takiego jak BlackSuit czy Charon. Niemal każdy system — od automotoryzacji po systemy chmurowe — jest teraz zagrożony lukami i złośliwym oprogramowaniem, co potwierdzają liczne wycieki i ataki z ostatnich dni.

W ostatnich tygodniach globalne cyberzagrożenia przybierają na sile – ataki na francuskiego giganta Bouygues Telecom, które wyciekły dane 6,4 miliona klientów, wpisują się w rosnącą skalę naruszeń bezpieczeństwa. Organizacje takie jak Google, Meta i Microsoft odnotowują poważne luki: od wycieków danych i scamów, po zaawansowane ataki z użyciem sztucznej inteligencji oraz złośliwych pakietów oprogramowania.

YubiKey to uniwersalne urządzenie bezpieczeństwa, które może znacznie zwiększyć ochronę systemu Linux. Ten przewodnik przedstawia wszystkie aspekty konfiguracji YubiKey na Fedora, od podstawowej instalacji po zaawansowane scenariusze użytkowania.

Wprowadzenie do YubiKey​

YubiKey to fizyczny token bezpieczeństwa, który łączy w sobie kilka technologii uwierzytelniania:

• FIDO U2F/FIDO2 - nowoczesne standardy uwierzytelniania
• OTP (One-Time Password) - jednorazowe hasła
• PIV (Personal Identity Verification) - przechowywanie certyfikatów i kluczy prywatnych
• OpenPGP - szyfrowanie i podpisy cyfrowe
• OATH - kompatybilność z TOTP/HOTP (Google Authenticator, itd.)

Ograniczenia pamięci YubiKey​

Każdy moduł ma swoje limity przechowywania:¹

• OTP - nielimitowane (jeden sekret na klucz)
• FIDO U2F - nielimitowane (jeden sekret na klucz)
• FIDO2 - 25 poświadczeń
• OATH - 32 poświadczenia
• PIV - 24 certyfikaty X.509 z kluczami prywatnymi
• OpenPGP - 3 klucze (szyfrowanie, podpisywanie, uwierzytelnianie)

Instalacja podstawowych pakietów​

Dla wszystkich funkcji​

# Podstawowe narzędzia YubiKey
sudo dnf install yubikey-manager yubikey-manager-qt

# Dla uwierzytelniania PAM (starsze klucze bez FIDO2)
sudo dnf install pam_yubico

# Dla uwierzytelniania FIDO U2F/FIDO2
sudo dnf install pam-u2f pamu2fcfg

# Dla obsługi OpenPGP/smartcard
sudo dnf install pcsc-lite

# Dla SSH z PKCS#11
sudo dnf install opensc

# GUI do personalizacji (starsze narzędzie)
sudo dnf install yubikey-personalization-gui

Uruchamianie usług​

# Uruchomienie usługi smartcard
sudo systemctl enable --now pcscd

Konfiguracja uwierzytelniania systemowego (PAM)​

Metoda 1: FIDO U2F/FIDO2 (zalecana dla nowych kluczy)​

Krok 1: Rejestracja klucza

# Utworzenie katalogu
mkdir -p ~/.config/Yubico

# Rejestracja pierwszego klucza
pamu2fcfg > ~/.config/Yubico/u2f_keys

# Dodanie zapasowego klucza (zalecane!)
pamu2fcfg -n >> ~/.config/Yubico/u2f_keys

Krok 2: Konfiguracja plików PAM

Utwórz pliki konfiguracyjne w /etc/pam.d/:

# /etc/pam.d/u2f-required
#%PAM-1.0
auth required pam_u2f.so

# /etc/pam.d/u2f-sufficient  
#%PAM-1.0
auth sufficient pam_u2f.so

Metoda 2: YubiCloud OTP (starsze klucze)​

Krok 1: Rejestracja klucza

# Utworzenie katalogu
mkdir -p ~/.yubico

# Naciśnij YubiKey, aby uzyskać OTP - pierwsze 12 znaków to ID klucza
echo "fedora-user:cccccbcgebif" > ~/.yubico/authorized_keys

Krok 2: Konfiguracja PAM (wymaga API key od Yubico)²

# /etc/pam.d/yubikey-required
#%PAM-1.0  
auth required pam_yubico.so id=[Your API Client ID] key=[Your API Client Key]

# /etc/pam.d/yubikey-sufficient
#%PAM-1.0
auth sufficient pam_yubico.so id=[Your API Client ID] key=[Your API Client Key]

Metoda 3: Challenge-Response (offline)​

Krok 1: Konfiguracja YubiKey

# Aktywacja challenge-response w slocie 2 (wymaga dotyku)
ykman otp chalresp --generate --touch 2

# Rejestracja klucza dla użytkownika
ykpamcfg -2

Krok 2: Konfiguracja PAM

# /etc/pam.d/yubikey-required
#%PAM-1.0
auth required pam_yubico.so mode=challenge-response

# /etc/pam.d/yubikey-sufficient  
#%PAM-1.0
auth sufficient pam_yubico.so mode=challenge-response

Konfiguracja konkretnych usług​

Sudo z YubiKey​

Opcja A: Wymaga hasła + YubiKey (2FA)

# Edytuj /etc/pam.d/sudo
sudo visudo /etc/pam.d/sudo

# Dodaj AFTER linii "auth substack system-auth":
auth include u2f-required

# lub yubikey-required dla OTP

Opcja B: Tylko YubiKey (1FA)

# Dodaj BEFORE linii "auth substack system-auth":
auth include u2f-sufficient

Konfiguracja cache sudo (rozwiązanie problemu z powtarzającym się żądaniem YubiKey):

# Edytuj sudoers
sudo visudo

# Dodaj na końcu pliku:
Defaults timestamp_timeout=15      # Cache na 15 minut
Defaults timestamp_timeout=-1      # Cache do końca sesji terminala  
Defaults timestamp_type=global     # Wspólny cache dla wszystkich terminali (opcjonalnie)

Login GDM/graficzny​

Metoda authselect (zalecana)³

# Sprawdzenie aktualnego profilu
sudo authselect current

# Włączenie U2F dla profilu sssd
sudo authselect select sssd with-pam-u2f

# Lub dla profilu local
sudo authselect select local with-pam-u2f

# Zastosowanie zmian
sudo authselect apply-changes

Metoda manualna (edycja /etc/pam.d/gdm-password):

# Dodaj BEFORE "auth substack password-auth":
auth include u2f-sufficient

# Lub AFTER dla 2FA:
auth include u2f-required

Login konsolowy​

# Edytuj /etc/pam.d/login
# Dodaj przed "auth substack system-auth":
auth include u2f-sufficient

SSH z YubiKey​

Opcja A: FIDO2 SSH keys (nowoczesne)

# Generowanie klucza wymagającego obecności YubiKey
ssh-keygen -t ed25519-sk

# Generowanie klucza rezydentnego (przenośnego)
ssh-keygen -t ed25519-sk -O resident -O application=ssh:fedora -O verify-required

# Kopiowanie klucza publicznego na serwer
ssh-copy-id -i ~/.ssh/id_ed25519_sk.pub user@server

Opcja B: PIV/PKCS#11 (starsze klucze)

# Generowanie klucza w module PIV
ykman piv keys generate --algorithm ED25519 --pin-policy ONCE --touch-policy ALWAYS 9a public.pem

# Tworzenie certyfikatu
ykman piv certificates generate --subject "CN=OpenSSH" --hash-algorithm SHA384 9a public.pem

# Eksport klucza publicznego
ssh-keygen -D /usr/lib64/libykcs11.so -e

# Logowanie z PKCS#11
ssh -I /usr/lib64/libykcs11.so user@server

Konfiguracja OpenPGP/GPG​

Instalacja i przygotowanie​

# Instalacja wymaganych pakietów (jeśli nie zainstalowano wcześniej)
sudo dnf install pcsc-lite gnupg2

# Uruchomienie usługi
sudo systemctl enable --now pcscd

# Sprawdzenie połączenia z kartą
gpg --card-status

Podstawowa konfiguracja GPG​

# Utwórz plik konfiguracyjny scdaemon
echo "disable-ccid" >> ~/.gnupg/scdaemon.conf

# Restart agenta GPG
gpg-connect-agent reloadagent /bye

Zmiana PIN-ów PIV​

# Zmiana PIN-u użytkownika (domyślnie: 123456)
ykman piv access change-pin

# Zmiana PUK (domyślnie: 12345678)  
ykman piv access change-puk

# Zmiana klucza zarządzania
ykman piv access change-management-key --generate --protect

Konfiguracja dotykania dla operacji OpenPGP​

# Wymaganie dotyku dla podpisywania
ykman openpgp keys set-touch sig on

# Wymaganie dotyku dla szyfrowania  
ykman openpgp keys set-touch dec on

# Wymaganie dotyku dla uwierzytelniania
ykman openpgp keys set-touch aut on

OATH/TOTP (Google Authenticator replacement)​

Instalacja aplikacji​

# Aplikacja desktopowa
sudo dnf install yubioath-desktop

# Lub użyj Yubico Authenticator z oficjalnej strony

Zarządzanie kontami TOTP​

# Ustawienie hasła dla aplikacji OATH
ykman oath access change

# Zapamiętanie hasła (żeby nie pytało za każdym razem)
ykman oath access remember

# Dodanie konta TOTP  
ykman oath accounts add google <TOTP_SECRET>

# Generowanie kodu
ykman oath accounts code google

# Lista wszystkich kont
ykman oath accounts list

# Usuwanie konta
ykman oath accounts delete google

Zaawansowane konfiguracje​

Blokowanie ekranu po wyjęciu YubiKey​

# Utwórz regułę udev w /etc/udev/rules.d/85-yubikey-lock.rules
ACTION=="remove", ENV{ID_BUS}=="usb", ENV{ID_MODEL_ID}=="0407", ENV{ID_VENDOR_ID}=="1050", RUN+="/usr/bin/loginctl lock-sessions"

# Przeładuj reguły
sudo udevadm control --reload

Konfiguracja różnych trybów dla różnych usług​

Przykład: Password + YubiKey dla sudo, tylko YubiKey dla terminala

# /etc/pam.d/sudo - 2FA
auth substack system-auth
auth include u2f-required

# /etc/pam.d/login - 1FA  
auth include u2f-sufficient
auth substack system-auth

Cache i timeout konfiguracja​

# W /etc/sudoers (visudo):
Defaults timestamp_timeout=900     # 15 minut cache
Defaults passwd_timeout=5          # 5 sekund na wprowadzenie hasła
Defaults passwd_tries=3            # 3 próby wprowadzenia hasła

Rozwiązywanie problemów​

Sprawdzanie statusu YubiKey​

# Podstawowe informacje
ykman info

# Status wszystkich aplikacji  
ykman --list

# Status karty OpenPGP
gpg --card-status

# Status FIDO2
ykman fido info

# Logi PAM
journalctl -f | grep pam

Typowe problemy​

Problem: YubiKey nie jest rozpoznawany⁴

# Sprawdź czy zainstalowany pcsc-lite
sudo dnf install pcsc-lite
sudo systemctl restart pcscd

# Sprawdź uprawnienia
ls -la /dev/bus/usb/

Problem: GPG nie widzi YubiKey

# Sprawdź scdaemon
echo "disable-ccid" >> ~/.gnupg/scdaemon.conf
gpg-connect-agent "scd serialno" "scd learn" /bye

Problem: Sudo przy każdym użyciu wymaga YubiKey

# Ustaw timestamp_timeout w sudoers
echo "Defaults timestamp_timeout=900" | sudo tee -a /etc/sudoers

Backup i bezpieczeństwo​

Konfiguracja zapasowego klucza​

Zawsze konfiguruj drugi YubiKey jako backup:¹²

# Dla U2F - dodaj drugi klucz
pamu2fcfg -n >> ~/.config/Yubico/u2f_keys

# Dla OTP - dodaj ID drugiego klucza
echo "fedora-user:cccccbcgebif:dddddddddddd" > ~/.yubico/authorized_keys

# Dla SSH - wygeneruj klucze na obu urządzeniach
ssh-keygen -t ed25519-sk    # Na pierwszym kluczu
ssh-keygen -t ed25519-sk    # Na zapasowym kluczu

Testowanie konfiguracji​

ZAWSZE testuj w drugim terminalu przed zamknięciem bieżącego!

# Test sudo w nowym terminalu
sudo echo "test"

# Test logowania w nowej sesji SSH
ssh localhost

# Test logowania GDM - zablokuj i odblokuj ekran

Podsumowanie​

YubiKey oferuje wielopoziomową ochronę systemu Fedora Linux. Najważniejsze zalecenia:

1. Zawsze konfiguruj zapasowy klucz - hardware token może się zepsuć lub zgubić
2. Testuj każdą zmianę w osobnej sesji przed zamknięciem obecnej
3. Używaj FIDO2 dla nowych kluczy (bezpieczniejsze i wygodniejsze)
4. Konfiguruj cache sudo - unikniesz frustracji z ciągłym dotykaniem klucza
5. Regularnie twórz kopie zapasowe konfiguracji PAM i plików autoryzacji

Dzięki odpowiedniej konfiguracji YubiKey może znacznie zwiększyć bezpieczeństwo bez nadmiernego wpływu na wygodę użytkowania. Kluczem jest znalezienie równowagi między bezpieczeństwem a praktycznością dla konkretnego środowiska i przypadku użycia.

W ostatnich dniach świat cyberbezpieczeństwa został wstrząśnięty serią poważnych incydentów: Cisco ujawniło wyciek danych obejmujący informacje użytkowników, podczas gdy SonicWall walczy z rosnącą liczbą ataków ransomware na swoje firewalle, które mogą wykorzystywać luki zero-day. Google poinformowało o wykryciu 20 luk bezpieczeństwa za pomocą własnego narzędzia AI, a jednocześnie zagrożenie ze strony chińskich szpiegów wyraźnie wzrosło, z raportem o wykorzystywaniu AI do deepfake’ów i kradzieży tożsamości. Warto zauważyć, że cyberprzestępcy coraz częściej korzystają z nowoczesnych metod, takich jak malware korzystający z CAPTCHA czy kampanie phishingowe z wykorzystywaniem fake’owych sklepów TikTok, które skutecznie kradną kryptowaluty i dane. Przed nami również wielkie wyzwanie, bo Microsoft zwiększył pulę nagród do 5 milionów dolarów w konkursie Zero Day Quest, a eksperci alarmują o rosnącym zagrożeniu dla platform AI, takich jak NVIDIA Triton, czy systemów operacyjnych Android i macOS.

Cyberzagrożenia rosną, a ataki zagrażają krytycznej infrastrukturze — od tajnych malware w sieciach telekomunikacyjnych w Azji Południowo-Wschodniej, przez ukrytą tygrysią tylną furtkę 'Plague' na Linuxie, po ransomware Akira atakujące VPN-y SonicWall. Eksperci ostrzegają, że cyberprzestępcy coraz częściej korzystają z zaawansowanych metod, aby uzyskać nieautoryzowany dostęp i poważnie zagrozić bezpieczeństwu globalnych systemów, podczas gdy firmy takie jak OpenAI i Anthropic rywalizują o przewagę w rozwoju najbardziej zaawansowanych modeli AI.

Najnowsze doniesienia z branży cyberbezpieczeństwa wskazują na rosnące zagrożenia i kontrowersje wokół technologii. Federalne opóźnienia w przyznawaniu licencji Nvidia na chip H20 mogą wpłynąć na międzynarodowe rynki, podczas gdy firma Lovense musi walczyć z wyciekiem danych użytkowników po naprawie luk bezpieczeństwa. W Europie niemieckie służby zlikwidowały serwery grupy ransomware BlackSuit, odpowiedzialnej za ataki na Dworze i inne instytucje. W międzyczasie atakujący coraz częściej korzystają z zaawansowanych metod, od fake OAuth na Microsoft 365, po złośliwe pakiety npm i nowe techniki malware, takie jak 'Shade BIOS'. Rosyjskie służby za pomocą ataków typu AitM celują w dyplomatyczne placówki, a w branży pojawiają się nagrody sięgające nawet miliona dolarów za znalezienie luk w WhatsApp. Coraz bardziej widoczny jest problem nie do końca bezpiecznego kodu generowanego przez AI, którego około połowa jest odporną na ataki, co podkreśla potrzebę jeszcze lepszych narzędzi i metod ochrony.

W ostatnim czasie świat cyberbezpieczeństwa obiegły niezwykle istotne wiadomości – Palo Alto Networks planuje przejęcie CyberArk za 25 miliardów dolarów, co jest jednym z największych tego roku, a jednocześnie skutecznie wprowadza firmę na rynek bezpieczeństwa tożsamości.

Na coraz bardziej złożone ataki narażone są zarówno giganty tacy jak Orange czy Allianz Life, które odnotowały milionowe wycieki danych i przerwy w usługach. Również problemem jest rosnąca aktywność cyberprzestępców korzystających z fałszywych aplikacji i złośliwego oprogramowania, takiego jak JSCEAL czy ransomware Chaos, które infiltrują firmy na szeroką skalę.