Benutzer-Werkzeuge
user:masilux:u2k
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
|
user:masilux:u2k [2020/01/15 19:50] Maik Schmalle |
user:masilux:u2k [2023/05/28 12:49] (aktuell) Maik Schmalle |
||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| ====== SoloKey für Linux-Anmeldung verwenden ====== | ====== SoloKey für Linux-Anmeldung verwenden ====== | ||
| Die Verwendung von SoloKey als zusätzliche Sicherheitsvorkehrung auf meinen Linux (Computern). | Die Verwendung von SoloKey als zusätzliche Sicherheitsvorkehrung auf meinen Linux (Computern). | ||
| - | |||
| - | Also das erste zuerst: Dies wäre (noch) nicht möglich, wenn das Team von Yubico einige Vorarbeiten geleistet hätte . Sie haben das PAM-Modul (Plugable Authentication Module) erstellt, das für die U2F-Authentifizierung erforderlich ist. Dies ist auch der Grund, warum wir die Software in erster Linie von ihnen erhalten (sie ist auch bei github erhältlich, wenn Sie den Quellcode überprüfen oder ändern möchten. | ||
| ====== Installation ====== | ====== Installation ====== | ||
| - | |||
| Ich verwende hauptsächlich Ubuntu und Arch Linux auf meinen Rechnern, aber hier werde ich beschreiben, wie man es in diesen Linux-Distributionen installiert. | Ich verwende hauptsächlich Ubuntu und Arch Linux auf meinen Rechnern, aber hier werde ich beschreiben, wie man es in diesen Linux-Distributionen installiert. | ||
| ===== Arch Linux: ===== | ===== Arch Linux: ===== | ||
| - | sudo pacman -S pam-u2f | + | <code> sudo pacman -S pam-u2f </code> |
| ===== Ubuntu Linux: ===== | ===== Ubuntu Linux: ===== | ||
| + | <code> | ||
| sudo add-apt-repository ppa:yubico/stable && sudo apt update | sudo add-apt-repository ppa:yubico/stable && sudo apt update | ||
| - | sudi apt install libpam-u2f | + | sudo apt install libpam-u2f |
| + | </code> | ||
| Damit Ihr SoloKey unter Linux vom udev-System erkannt wird, müssen Sie udev eine Regel hinzufügen. Dazu erstellen Sie eine neue udev-Regeldatei: | Damit Ihr SoloKey unter Linux vom udev-System erkannt wird, müssen Sie udev eine Regel hinzufügen. Dazu erstellen Sie eine neue udev-Regeldatei: | ||
| - | sudo vim /etc/udev/rules.d/70-solokeys.rules | + | <code> sudo vim /etc/udev/rules.d/70-solokeys.rules </code> |
| Fügen Sie der Datei die folgenden Zeilen hinzu und speichern Sie sie: | Fügen Sie der Datei die folgenden Zeilen hinzu und speichern Sie sie: | ||
| + | <code> | ||
| ACTION!="add|change", GOTO="solokeys_end" | ACTION!="add|change", GOTO="solokeys_end" | ||
| Zeile 26: | Zeile 25: | ||
| LABEL="solokeys_end" | LABEL="solokeys_end" | ||
| + | </code> | ||
| Laden Sie udev neu, damit die neue Regel aktiv wird: | Laden Sie udev neu, damit die neue Regel aktiv wird: | ||
| + | <code> | ||
| sudo udevadm control --reload-rules | sudo udevadm control --reload-rules | ||
| + | </code> | ||
| Jetzt können Sie Ihren Solokey unter Linux verwenden und mit der Konfiguration von pam fortfahren . | Jetzt können Sie Ihren Solokey unter Linux verwenden und mit der Konfiguration von pam fortfahren . | ||
| Zeile 37: | Zeile 38: | ||
| Erstellen Sie den Konfigurationsordner für den Schlüsselspeicher: | Erstellen Sie den Konfigurationsordner für den Schlüsselspeicher: | ||
| - | mkdir ~/.config/Yubico | + | <code> mkdir ~/.config/Yubico </code> |
| Es ist wichtig, dass es genau wie hier Yubico heißt, da das Pam-Modul für die Verwendung dieses Speicherorts fest codiert ist. | Es ist wichtig, dass es genau wie hier Yubico heißt, da das Pam-Modul für die Verwendung dieses Speicherorts fest codiert ist. | ||
| Das Pam-Modul wird mit einem Konfigurationstool geliefert, mit dem Sie die Tastenfolgen in der Konfiguration für Ihre SoloKeys erstellen können. Stecken Sie einfach Ihren Solokey in den USB-Anschluss und führen Sie dann in einem Terminal den folgenden Befehl aus: | Das Pam-Modul wird mit einem Konfigurationstool geliefert, mit dem Sie die Tastenfolgen in der Konfiguration für Ihre SoloKeys erstellen können. Stecken Sie einfach Ihren Solokey in den USB-Anschluss und führen Sie dann in einem Terminal den folgenden Befehl aus: | ||
| - | pamu2fcfg > ~/.config/Yubico/u2f_keys | + | <code> pamu2fcfg > ~/.config/Yubico/u2f_keys </code> |
| Auch hier ist der Dateiname wichtig. | Auch hier ist der Dateiname wichtig. | ||
| Zeile 51: | Zeile 52: | ||
| Wenn Sie einen weiteren Schlüssel hinzufügen, ist es sehr wichtig, dass Sie nicht den vorherigen Befehl für den neuen Schlüssel verwenden, sondern stattdessen den folgenden (es wird eine neue Zeile hinzugefügt und an die Datei angehängt, anstatt sie zu überschreiben): | Wenn Sie einen weiteren Schlüssel hinzufügen, ist es sehr wichtig, dass Sie nicht den vorherigen Befehl für den neuen Schlüssel verwenden, sondern stattdessen den folgenden (es wird eine neue Zeile hinzugefügt und an die Datei angehängt, anstatt sie zu überschreiben): | ||
| - | pamu2fcfg -n >> ~/.config/Yubico/u2f_keys | + | <code> pamu2fcfg -n >> ~/.config/Yubico/u2f_keys </code> |
| SoloKeys und Sudo | SoloKeys und Sudo | ||
| Jetzt ist Ihr Schlüssel registriert und kann von PAM verwendet werden. Am besten testen Sie dies, indem Sie das Berechtigungsschema für den Befehl sudo ändern. Bevor Sie dies tun, ziehen Sie bitte in Betracht, ein zusätzliches Terminal zu öffnen und mit dem Befehl „sudo su“ oder „sudo / bin / bash“ zu root zu wechseln. Auf diese Weise können Sie Änderungen vornehmen und deaktivieren, wenn ein Fehler aufgetreten ist. | Jetzt ist Ihr Schlüssel registriert und kann von PAM verwendet werden. Am besten testen Sie dies, indem Sie das Berechtigungsschema für den Befehl sudo ändern. Bevor Sie dies tun, ziehen Sie bitte in Betracht, ein zusätzliches Terminal zu öffnen und mit dem Befehl „sudo su“ oder „sudo / bin / bash“ zu root zu wechseln. Auf diese Weise können Sie Änderungen vornehmen und deaktivieren, wenn ein Fehler aufgetreten ist. | ||
| Zeile 57: | Zeile 58: | ||
| Jetzt können Sie die Pam-Konfigurationsdatei für sudo ändern: | Jetzt können Sie die Pam-Konfigurationsdatei für sudo ändern: | ||
| - | sudo vim /etc/pam.d/sudo | + | <code> sudo vim /etc/pam.d/sudo </code> |
| Suchen Sie am Anfang der Datei eine Zeile, die wie folgt aussieht: | Suchen Sie am Anfang der Datei eine Zeile, die wie folgt aussieht: | ||
| - | + | <code>@include common-auth</code> | |
| - | @include common-auth | + | |
| und füge die folgende Zeile gleich danach hinzu: | und füge die folgende Zeile gleich danach hinzu: | ||
| - | + | <code>auth required pam_u2f.so</code> | |
| - | auth required pam_u2f.so | + | |
| Dies besagt, dass Sie nach der allgemeinen Anmeldung (der normalen Aufforderung zur Eingabe des Sudo-Passworts) aufgefordert werden, pam_u2f (Ihren Solokey) zu verwenden. | Dies besagt, dass Sie nach der allgemeinen Anmeldung (der normalen Aufforderung zur Eingabe des Sudo-Passworts) aufgefordert werden, pam_u2f (Ihren Solokey) zu verwenden. | ||
| Speichern Sie die Datei und versuchen Sie es dann mit etwas Einfachem wie: | Speichern Sie die Datei und versuchen Sie es dann mit etwas Einfachem wie: | ||
| - | + | <code>sudo echo "SoloKeys rock"</code> | |
| - | sudo echo "SoloKeys rock" | + | |
| Wenn kein SoloKey in den USB-Port eingesteckt ist, schlägt dies fehl, nachdem das Passwort geschrieben wurde. Wenn der SoloKey eingesteckt ist, beginnt er zu blinken und Sie haben dann ca. 10 Sekunden Zeit, um die Taste auf dem Solokey zu drücken. Möglicherweise müssen Sie die Taste erneut eine Sekunde lang gedrückt halten, damit sie registriert wird. | Wenn kein SoloKey in den USB-Port eingesteckt ist, schlägt dies fehl, nachdem das Passwort geschrieben wurde. Wenn der SoloKey eingesteckt ist, beginnt er zu blinken und Sie haben dann ca. 10 Sekunden Zeit, um die Taste auf dem Solokey zu drücken. Möglicherweise müssen Sie die Taste erneut eine Sekunde lang gedrückt halten, damit sie registriert wird. | ||
| Zeile 79: | Zeile 77: | ||
| Die Vorgehensweise ist dieselbe, aber suchen Sie diesmal nach der Pam-Konfigurationsdatei mit dem Namen: | Die Vorgehensweise ist dieselbe, aber suchen Sie diesmal nach der Pam-Konfigurationsdatei mit dem Namen: | ||
| + | <code> | ||
| /etc/pam.d/gdm-password # if you use gdm for login | /etc/pam.d/gdm-password # if you use gdm for login | ||
| - | /etc/pam.d/lightdm # if you use lightdm | + | /etc/pam.d/lightdm # if you use lightdm |
| + | </code> | ||
| Fügen Sie die Zeile auf die gleiche Weise und an der gleichen Stelle zur Datei hinzu, wie oben für sudo beschrieben. Danach können Sie sich von Ihrem Desktop abmelden und erneut versuchen, sich anzumelden. Sie melden sich nicht an, wenn Sie den Solokey nicht in den USB-Anschluss eingesteckt haben. | Fügen Sie die Zeile auf die gleiche Weise und an der gleichen Stelle zur Datei hinzu, wie oben für sudo beschrieben. Danach können Sie sich von Ihrem Desktop abmelden und erneut versuchen, sich anzumelden. Sie melden sich nicht an, wenn Sie den Solokey nicht in den USB-Anschluss eingesteckt haben. | ||
| Zeile 87: | Zeile 87: | ||
| Sie können die gleiche Änderung für andere Dateien /etc/pam.d/vornehmen, wenn Sie beispielsweise den Gnome-Bildschirmschoner verwenden, dann können Sie die Zeile hinzufügen /etc/pam.d/gnome-screensaverund wenn Sie sie für die allgemeine Konsolenanmeldung benötigen (wenn Sie ohne Desktop booten oder einen Server ausführen, dann können Sie es hinzufügen /etc/pam.d/login). | Sie können die gleiche Änderung für andere Dateien /etc/pam.d/vornehmen, wenn Sie beispielsweise den Gnome-Bildschirmschoner verwenden, dann können Sie die Zeile hinzufügen /etc/pam.d/gnome-screensaverund wenn Sie sie für die allgemeine Konsolenanmeldung benötigen (wenn Sie ohne Desktop booten oder einen Server ausführen, dann können Sie es hinzufügen /etc/pam.d/login). | ||
| - | Ein Hinweis zur Warnung : Wenn Sie dies nicht richtig tun, können Sie wirklich von Ihrem System ausgeschlossen werden. Starten Sie in diesem Fall Ihr System im Wiederherstellungsmodus oder (Einzelmodus) und setzen Sie dann Ihre Änderungen zurück. | + | Ein Hinweis zur Warnung: Wenn Sie dies nicht richtig tun, können Sie wirklich von Ihrem System ausgeschlossen werden. Starten Sie in diesem Fall Ihr System im Wiederherstellungsmodus oder (Einzelmodus) und setzen Sie dann Ihre Änderungen zurück. |
| - | Hoffe, das hilft dir dabei, deinen SoloKey noch mehr zu lieben - ich weiß, dass ich es getan habe! | + | Hoffe, das hilft dir dabei, deinen SoloKey noch mehr zu lieben – ich weiß, dass ich es getan habe! |
| PS: Das funktioniert natürlich auch mit OnlyKey U2F und yubikeys. | PS: Das funktioniert natürlich auch mit OnlyKey U2F und yubikeys. | ||
user/masilux/u2k.1579114246.txt.gz · Zuletzt geändert: 2020/01/15 19:50 von Maik Schmalle
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Share Alike 4.0 International
