Inhaltsverzeichnis

SoloKey für Linux-Anmeldung verwenden

Die Verwendung von SoloKey als zusätzliche Sicherheitsvorkehrung auf meinen Linux (Computern).

Installation

Ich verwende hauptsächlich Ubuntu und Arch Linux auf meinen Rechnern, aber hier werde ich beschreiben, wie man es in diesen Linux-Distributionen installiert.

Arch Linux:

 sudo pacman -S pam-u2f 

Ubuntu Linux:

sudo add-apt-repository ppa:yubico/stable && sudo apt update
sudo apt install libpam-u2f

Damit Ihr SoloKey unter Linux vom udev-System erkannt wird, müssen Sie udev eine Regel hinzufügen. Dazu erstellen Sie eine neue udev-Regeldatei:

 sudo vim /etc/udev/rules.d/70-solokeys.rules 

Fügen Sie der Datei die folgenden Zeilen hinzu und speichern Sie sie:

ACTION!="add|change", GOTO="solokeys_end"

# SoloKeys rule
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="0483", ATTRS{idProduct}=="a2ca", TAG+="uaccess"

LABEL="solokeys_end"

Laden Sie udev neu, damit die neue Regel aktiv wird:

sudo udevadm control --reload-rules

Jetzt können Sie Ihren Solokey unter Linux verwenden und mit der Konfiguration von pam fortfahren .

Aufbau

Nachdem wir das Pam-Modul installiert haben, ist es Zeit, Ihren SoloKey hinzuzufügen. Ich habe meine Konfiguration für meinen Benutzer als persönliche Konfiguration in meinem Ausgangsordner festgelegt. Dies kann auch über / etc erfolgen, aber ich werde diesmal nicht darauf eingehen.

Erstellen Sie den Konfigurationsordner für den Schlüsselspeicher:

 mkdir ~/.config/Yubico 

Es ist wichtig, dass es genau wie hier Yubico heißt, da das Pam-Modul für die Verwendung dieses Speicherorts fest codiert ist.

Das Pam-Modul wird mit einem Konfigurationstool geliefert, mit dem Sie die Tastenfolgen in der Konfiguration für Ihre SoloKeys erstellen können. Stecken Sie einfach Ihren Solokey in den USB-Anschluss und führen Sie dann in einem Terminal den folgenden Befehl aus:

 pamu2fcfg > ~/.config/Yubico/u2f_keys 

Auch hier ist der Dateiname wichtig.

Ihr SoloKey beginnt zu blinken und das bedeutet, dass Sie die Taste drücken müssen. Beachten Sie, dass Sie die Taste manchmal eine Sekunde lang gedrückt halten müssen, damit sie reagiert. Wenn pamu2fcfg Ihr Gerät identifiziert hat, werden Sie in der Konsole darüber informiert.

Es wird dringend empfohlen, einen Sicherungsschlüssel zu haben, da Sie vollständig gesperrt werden, wenn Ihr einziger Schlüssel gestohlen wird, kaputt geht oder so.

Wenn Sie einen weiteren Schlüssel hinzufügen, ist es sehr wichtig, dass Sie nicht den vorherigen Befehl für den neuen Schlüssel verwenden, sondern stattdessen den folgenden (es wird eine neue Zeile hinzugefügt und an die Datei angehängt, anstatt sie zu überschreiben):

 pamu2fcfg -n >> ~/.config/Yubico/u2f_keys 

SoloKeys und Sudo Jetzt ist Ihr Schlüssel registriert und kann von PAM verwendet werden. Am besten testen Sie dies, indem Sie das Berechtigungsschema für den Befehl sudo ändern. Bevor Sie dies tun, ziehen Sie bitte in Betracht, ein zusätzliches Terminal zu öffnen und mit dem Befehl „sudo su“ oder „sudo / bin / bash“ zu root zu wechseln. Auf diese Weise können Sie Änderungen vornehmen und deaktivieren, wenn ein Fehler aufgetreten ist.

Jetzt können Sie die Pam-Konfigurationsdatei für sudo ändern:

 sudo vim /etc/pam.d/sudo 

Suchen Sie am Anfang der Datei eine Zeile, die wie folgt aussieht:

@include common-auth

und füge die folgende Zeile gleich danach hinzu:

auth       required   pam_u2f.so

Dies besagt, dass Sie nach der allgemeinen Anmeldung (der normalen Aufforderung zur Eingabe des Sudo-Passworts) aufgefordert werden, pam_u2f (Ihren Solokey) zu verwenden.

Speichern Sie die Datei und versuchen Sie es dann mit etwas Einfachem wie:

sudo echo "SoloKeys rock"

Wenn kein SoloKey in den USB-Port eingesteckt ist, schlägt dies fehl, nachdem das Passwort geschrieben wurde. Wenn der SoloKey eingesteckt ist, beginnt er zu blinken und Sie haben dann ca. 10 Sekunden Zeit, um die Taste auf dem Solokey zu drücken. Möglicherweise müssen Sie die Taste erneut eine Sekunde lang gedrückt halten, damit sie registriert wird.

Wenn alles wie geplant verlaufen ist, wird „SoloKeys Rock“ auf dem Terminal gedruckt.

SoloKeys und der Desktop

Jetzt können Sie Ihr Desktop-Login ändern, um auch den Schlüssel zu verwenden.

Die Vorgehensweise ist dieselbe, aber suchen Sie diesmal nach der Pam-Konfigurationsdatei mit dem Namen:

/etc/pam.d/gdm-password # if you use gdm for login
/etc/pam.d/lightdm # if you use lightdm 

Fügen Sie die Zeile auf die gleiche Weise und an der gleichen Stelle zur Datei hinzu, wie oben für sudo beschrieben. Danach können Sie sich von Ihrem Desktop abmelden und erneut versuchen, sich anzumelden. Sie melden sich nicht an, wenn Sie den Solokey nicht in den USB-Anschluss eingesteckt haben.

Die Solotaste blinkt, nachdem Sie Ihr Passwort eingegeben haben. Anschließend müssen Sie die Taste drücken, um sich vollständig auf Ihrem Desktop anzumelden.

Sie können die gleiche Änderung für andere Dateien /etc/pam.d/vornehmen, wenn Sie beispielsweise den Gnome-Bildschirmschoner verwenden, dann können Sie die Zeile hinzufügen /etc/pam.d/gnome-screensaverund wenn Sie sie für die allgemeine Konsolenanmeldung benötigen (wenn Sie ohne Desktop booten oder einen Server ausführen, dann können Sie es hinzufügen /etc/pam.d/login).

Ein Hinweis zur Warnung: Wenn Sie dies nicht richtig tun, können Sie wirklich von Ihrem System ausgeschlossen werden. Starten Sie in diesem Fall Ihr System im Wiederherstellungsmodus oder (Einzelmodus) und setzen Sie dann Ihre Änderungen zurück.

Hoffe, das hilft dir dabei, deinen SoloKey noch mehr zu lieben – ich weiß, dass ich es getan habe!

PS: Das funktioniert natürlich auch mit OnlyKey U2F und yubikeys.