YubiKey en PAM Login

Ik gebruik Debian 9 (codenaam Stretch) voor dit Artikel, dus indien je een andere distro gebruikt moet je bepaalde dingen anders doen.

Eerst moeten de de nodig software installeren, Yubico de fabrikant van de YubiKey heeft de libpam-u2f PAM plugin gemaakt en deze is beschikbaar in de Debian archieven : $ sudo apt install pamu2fcfg libpam-u2f

Nu moeten we voor iedere gebruiker de Directory Yubico aanmaken onder ~/.config hier plaatsen we het configuratiebestand. $ mkdir ~/.config/Yubico

teek een YubiKey met U2F ondersteuning in een USB poort en voer het volgende commando uit: $ pamu2fcfg -u$USER > ~/.config/Yubico/u2f_keys

Als je meerdere YubiKeys wil gebruiken voer je het volgende commando uit : $ pamu2fcfg -n > tweede

De inhoud van het bestand tweede kun je nu plakken in het bestand ~/.config/Yubico/u2f_keys aan het einde van dezelfde regel dus als er in het bestand staat :

Figuur 1. $ cat ~/.config/Yubico/u2f_keys

patrick:8YY9mqTzWVT0lJ_wW3rpdeVI2RKRnM8bi22q87BShVwZZULVYr2_sfretQzu141JBLfNYV6nbEk3yX-
iHwShOUw,040270df5b4208fca8ba9b5fcf58fbe920dc78970daf531eb2ef1c723c8341ed9df7ae227c3e22578a2f6f36
11bc9e2ca777ccad805d1f1c3F23de9b10e11aa95d

dan maak je:

Figuur 2. $ gedit ~/.config/Yubico/u2f_keys

patrick:8YY9mqTzWVT0lJ_wW3rpdeVI2RKRnM8bi22q87BShVwZZULVYr2_sfretQzu141JBLfNYV6nbEk3yX-
iHwShOUw,040270df5b4208fca8ba9b5fcf58fbe920dc78970daf531eb2ef1c723c8341ed9df7ae227c3e22578a2f6f36
11bc9e2ca777ccad805d1f1c3F23de9b10e11aa95d:HGY9mqTzXCT0lJ_wW3rpde-
VI2RKRnM8bi22q87BShVwZZULVYr2_sfretQzu141JBLfNYV6nbEk3yXYzwZ-
SOUw,040270df5b4208fca8ba9b5fcf58fbe920dc78970daf531eb2ef1c723c8341ed9df7ae227c3e22578a2f6f3611bc9e2ca777ccad805d1f1c3F23de9b10e11aa43d

Dit doe je voor iedere U2F compatibele YubiKey die je wil gebruiken (YubiKey 4 of FIDO U2F)

Vervolgens bewerken we het bestand /etc/pam.d/common-auth en voegen er aan toe: auth required pam_u2f.so cue

Waarschuwing

Kijk goed of het pamu2fcfg goed werkt (een sleutel weergeeft en geen foutmelding). Indien dit niet zo is, zul je bij het inloggen na reboot of gewoon uitloggen en weer inloggen een foutmelding krijgen en krijg je nog enkel toegang tot het systeem vanuit de Recovery modus.

Herstart de computer (of log uit en opnieuw in) en nu zul je zowel je wachtwoord moeten ingeven als een YubiKey plaatsen en op de knop drukken voor:

Login
Gebruik van sudo
Ontgrendelen van de computer

Waarschuwing

Je zal het root account nu ook niet meer kunnen gebruiken !

Om dit toch mogelijk te maken moet je ook een u2f_keys bestand aanmaken onder /root/.config/Yubico De simpelste oplossing is het bestand u2f_keys (met sudo) naar deze computer te kopiëren en de gebruikersnaam aan het begin veranderen van jouw gebruikersnaam naar root.

Nu kun je het root account ook weer gebruiken i.s.m. een wachtwoord en jouw YubiKeys, wil je een extra beveiliging met een andere YubiKey dan deze die je voor jouw "normale" gebruiker gebruikt kan dit natuurlijk ook.

Een ander voordeel hiervan is dat je (op Debian) bij het opstarten van Synaptic (en andere beheerderstoepassingen) vanuit de GUI (Gnome bijvoorbeeld) het Administrator/root wachtwoord moet ingeven en niet jouw wachtwoord. Als je dit dus niet instelt voor de root gebruiker dan zal Synaptic niet opstarten vanuit de GUI, maar zal je dit manueel vanuit een terminal met sudo synaptic moeten doen.