Die Verwendung von SoloKey als zusätzliche Sicherheitsvorkehrung auf meinen Linux (Computern).
Ich verwende hauptsächlich Ubuntu und Arch Linux auf meinen Rechnern, aber hier werde ich beschreiben, wie man es in diesen Linux-Distributionen installiert.
sudo pacman -S pam-u2f
sudo add-apt-repository ppa:yubico/stable && sudo apt update sudo apt install libpam-u2f
Damit Ihr SoloKey unter Linux vom udev-System erkannt wird, müssen Sie udev eine Regel hinzufügen. Dazu erstellen Sie eine neue udev-Regeldatei:
sudo vim /etc/udev/rules.d/70-solokeys.rules
Fügen Sie der Datei die folgenden Zeilen hinzu und speichern Sie sie:
ACTION!="add|change", GOTO="solokeys_end" # SoloKeys rule KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="0483", ATTRS{idProduct}=="a2ca", TAG+="uaccess" LABEL="solokeys_end"
Laden Sie udev neu, damit die neue Regel aktiv wird:
sudo udevadm control --reload-rules
Jetzt können Sie Ihren Solokey unter Linux verwenden und mit der Konfiguration von pam fortfahren .
Nachdem wir das Pam-Modul installiert haben, ist es Zeit, Ihren SoloKey hinzuzufügen. Ich habe meine Konfiguration für meinen Benutzer als persönliche Konfiguration in meinem Ausgangsordner festgelegt. Dies kann auch über / etc erfolgen, aber ich werde diesmal nicht darauf eingehen.
Erstellen Sie den Konfigurationsordner für den Schlüsselspeicher:
mkdir ~/.config/Yubico
Es ist wichtig, dass es genau wie hier Yubico heißt, da das Pam-Modul für die Verwendung dieses Speicherorts fest codiert ist.
Das Pam-Modul wird mit einem Konfigurationstool geliefert, mit dem Sie die Tastenfolgen in der Konfiguration für Ihre SoloKeys erstellen können. Stecken Sie einfach Ihren Solokey in den USB-Anschluss und führen Sie dann in einem Terminal den folgenden Befehl aus:
pamu2fcfg > ~/.config/Yubico/u2f_keys
Auch hier ist der Dateiname wichtig.
Ihr SoloKey beginnt zu blinken und das bedeutet, dass Sie die Taste drücken müssen. Beachten Sie, dass Sie die Taste manchmal eine Sekunde lang gedrückt halten müssen, damit sie reagiert. Wenn pamu2fcfg Ihr Gerät identifiziert hat, werden Sie in der Konsole darüber informiert.
Es wird dringend empfohlen, einen Sicherungsschlüssel zu haben, da Sie vollständig gesperrt werden, wenn Ihr einziger Schlüssel gestohlen wird, kaputt geht oder so.
Wenn Sie einen weiteren Schlüssel hinzufügen, ist es sehr wichtig, dass Sie nicht den vorherigen Befehl für den neuen Schlüssel verwenden, sondern stattdessen den folgenden (es wird eine neue Zeile hinzugefügt und an die Datei angehängt, anstatt sie zu überschreiben):
pamu2fcfg -n >> ~/.config/Yubico/u2f_keys
SoloKeys und Sudo Jetzt ist Ihr Schlüssel registriert und kann von PAM verwendet werden. Am besten testen Sie dies, indem Sie das Berechtigungsschema für den Befehl sudo ändern. Bevor Sie dies tun, ziehen Sie bitte in Betracht, ein zusätzliches Terminal zu öffnen und mit dem Befehl „sudo su“ oder „sudo / bin / bash“ zu root zu wechseln. Auf diese Weise können Sie Änderungen vornehmen und deaktivieren, wenn ein Fehler aufgetreten ist.
Jetzt können Sie die Pam-Konfigurationsdatei für sudo ändern:
sudo vim /etc/pam.d/sudo
Suchen Sie am Anfang der Datei eine Zeile, die wie folgt aussieht:
@include common-auth
und füge die folgende Zeile gleich danach hinzu:
auth required pam_u2f.so
Dies besagt, dass Sie nach der allgemeinen Anmeldung (der normalen Aufforderung zur Eingabe des Sudo-Passworts) aufgefordert werden, pam_u2f (Ihren Solokey) zu verwenden.
Speichern Sie die Datei und versuchen Sie es dann mit etwas Einfachem wie:
sudo echo "SoloKeys rock"
Wenn kein SoloKey in den USB-Port eingesteckt ist, schlägt dies fehl, nachdem das Passwort geschrieben wurde. Wenn der SoloKey eingesteckt ist, beginnt er zu blinken und Sie haben dann ca. 10 Sekunden Zeit, um die Taste auf dem Solokey zu drücken. Möglicherweise müssen Sie die Taste erneut eine Sekunde lang gedrückt halten, damit sie registriert wird.
Wenn alles wie geplant verlaufen ist, wird „SoloKeys Rock“ auf dem Terminal gedruckt.
Jetzt können Sie Ihr Desktop-Login ändern, um auch den Schlüssel zu verwenden.
Die Vorgehensweise ist dieselbe, aber suchen Sie diesmal nach der Pam-Konfigurationsdatei mit dem Namen:
/etc/pam.d/gdm-password # if you use gdm for login /etc/pam.d/lightdm # if you use lightdm
Fügen Sie die Zeile auf die gleiche Weise und an der gleichen Stelle zur Datei hinzu, wie oben für sudo beschrieben. Danach können Sie sich von Ihrem Desktop abmelden und erneut versuchen, sich anzumelden. Sie melden sich nicht an, wenn Sie den Solokey nicht in den USB-Anschluss eingesteckt haben.
Die Solotaste blinkt, nachdem Sie Ihr Passwort eingegeben haben. Anschließend müssen Sie die Taste drücken, um sich vollständig auf Ihrem Desktop anzumelden.
Sie können die gleiche Änderung für andere Dateien /etc/pam.d/vornehmen, wenn Sie beispielsweise den Gnome-Bildschirmschoner verwenden, dann können Sie die Zeile hinzufügen /etc/pam.d/gnome-screensaverund wenn Sie sie für die allgemeine Konsolenanmeldung benötigen (wenn Sie ohne Desktop booten oder einen Server ausführen, dann können Sie es hinzufügen /etc/pam.d/login).
Ein Hinweis zur Warnung: Wenn Sie dies nicht richtig tun, können Sie wirklich von Ihrem System ausgeschlossen werden. Starten Sie in diesem Fall Ihr System im Wiederherstellungsmodus oder (Einzelmodus) und setzen Sie dann Ihre Änderungen zurück.
Hoffe, das hilft dir dabei, deinen SoloKey noch mehr zu lieben – ich weiß, dass ich es getan habe!
PS: Das funktioniert natürlich auch mit OnlyKey U2F und yubikeys.