Das Ziel besteht darin, den Zugriff auf einen Rechner, der Interaktiv bedient wird (Desktop-PC oder mobiler Laptop), zusätzlich zu dem Passwort durch ein Hardware-Token zu schützen. Voraussetzung ist hier ein U2F-Token mit FIDO2-Kompatibilität (Yubikey, Winkeo-A FIDO2, …) sowie das Software-Paket libpam-u2f.
Die genaue Anleitung ist auf der Website von Yubikey zu finden:
https://support.yubico.com/hc/en-us/articles/360016649099-Ubuntu-Linux-Login-Guide-U2F
Installation:
- # apt install libpam-u2f
Einlesen des eigenen Tokens:
- $ mkdir ~/.config/Yubico
- $ pamu2fcfg >> ~/.config/Yubico/u2f_keys
Einlesen eines weiteren Tokens
- $ pamu2fcfg -n >> ~/.config/Yubico/u2f_keys
Konfiguration
- Datei /etc/pam.d/gdm-password:
|
[...] |
Analog: Datei
- /etc/pam.d/login
- /etc/pam.d/sudo
- /etc/pam.d/su
Nach dieser Einrichtung wird bei dem Login und einem eingestecktem Token die Berührung des Touch-Feldes auf dem Token angefordert. Bei fehlendem Token erscheint keine entsprechende Meldung, sondern nur die Zugriffsverweigerung, so dass bei missbräuchlicher Verwendung auf das fehlende Token nicht geschossen werden kann.