pam-u2f

Mit einem FIDO2-Stick wie dem Solo V2 ist es unter Linux möglich, sich nur durch Eingabe einer PIN und dem Antippen des FIDO2-Sticks anzumelden. Diese neue Art der sicheren und benutzerfreundlichen Anmeldung wird durch das Pluggable Authentication Module (PAM) für den Universal Second Factor (U2F) kurz pam-u2f ab Version 1.1.0 ermöglicht.

Das offizielle Fedora pam-u2f Paket wurde leider schon lange nicht mehr aktualisiert und befindet sich noch auf Version 1.0.8. Daher stelle ich hier eine aktuelle Version des Paketes bereit.

Zur Installation muss zunächst das Repository hinzugefügt werden. Anschließend lässt sich das Paket aus dem neuen Repository installieren und nutzen.

1
2
sudo dnf copr enable drrdietrich/pam-u2f
sudo dnf --refresh install pamu2fcfg

Die Keys können mit pamu2fcfg registriert werden.

3
pamu2fcfg >> /etc/u2f_mappings

Anschließend können die Konfigurationen beispielsweise in /etc/pam.d/gdm-password und /etc/pam.d/sudo angepasst werden.

4
sudo vim /etc/pam.d/gdm-password
1
2
3
4
5
6
7
8
9
auth [success=done ignore=ignore default=bad] pam_selinux_permit.so
auth sufficient pam_u2f.so authfile=/etc/u2f_mappings cue pinverification=1
auth  optional  pam_exec.so expose_authtok /etc/pam_scripts/pam.sh
auth  substack  password-auth
auth  optional  pam_gnome_keyring.so
auth  include   postlogin

account     required      pam_nologin.so
[...]

5
sudo vim /etc/pam.d/sudo
1
2
3
4
5
6
7
8
#%PAM-1.0
auth sufficient pam_u2f.so authfile=/etc/u2f_mappings cue pinverification=1
auth      include   system-auth
account   include   system-auth
password  include   system-auth
session   optional  pam_keyinit.so revoke
session   required  pam_limits.so
session   include   system-auth

Demo

Daniel Dietrich
Daniel Dietrich
Unterstützer von Free/Libre Open Source Software (FLOSS)

Cybersecurity | Data Science | Linux

Weiter
Zurück