Desktop mit USB-Token schützen

4
7740
470906 / Pixabay

Mit einem Yubikey können einige Accounts und Zugänge, wie Google oder auch Nextcloud, per Zwei-Faktor-Authentifizierung abgesichert werden. Interessant ist auch, dass man seinen Debian-Desktop mit U2F schützen kann, wenn dort als Displaymanager GDM installiert ist. 

Vorgehensweise

Um zu testen, ob der Yubikey vom System erkannt wird, setzt man folgenden Befehl ab:

lsusb | grep U2F
Yubikey

Die Ausgabe sieht dann in etwa so aus:

Bus 002 Device 005: ID 1050:0120 Yubico.com Yubikey Touch U2F Security Key

Wird ein Token identifiziert, installiert man die erforderlichen Bibliotheken und erstellt das Verzeichnis ~/.config/Yubico.

# apt-get install pamu2fcfg libpam-u2f
mkdir -p ~/.config/Yubico

Nun wird die Konfiguration in das zuvor erstellte Verzeichnis geschrieben. Dazu muss der Button des Keys, wenn dieser blinkt, berührt werden, um den Vorgang abzuschließen.

pamu2fcfg >> ~/.config/Yubico/u2f_keys

Jetzt muss in die /etc/pam.d/gdm-password mit 

# nano /etc/pam.d/gdm-password

folgender Eintrag an den Anfang der Datei gesetzt werden.

auth required pam_u2f.so

Beim nächsten Neustart wird nun zuerst der USB-Token betätigt und danach das Passwort zur Anmeldung eingegeben, um sich auf dem Rechner einzuloggen.

Nachtrag

Es ist natürlich auch möglich auf die Passworteingabe zu verzichten und den Computer mit dem Token oder Passwort zu entsperren. Hierzu trägt man in die /etc/pam.d/gdm-password folgendes ein:

auth sufficient pam_u2f.so

Dazu muss im Schlüsselbund jedoch noch das Passwort für die Anmeldung deaktiviert werden. Hierbei muss man sich aber im Klaren sein, dass bei Verlust der neue Besitzer des Keys Zugang zu dem Computer erlangt.

4 Kommentare

  1. Für nichts davon braucht man Debian oder GDM. Nicht mal einen Desktop.

    Übrigens: Yubikey und Passwort? Da ist das Passwort doch eine totale Verschwendung.

    • > Übrigens: Yubikey und Passwort? Da ist das Passwort doch eine totale Verschwendung.

      Naja, das kommt darauf an was für Sicherheitsansprüche man hat. Ein U2F Token (nicht FIDO2) als einzelner Faktor würde halt bedeuten, dass sich jeder mit physikalischem Zugriff auf das Token einloggen kann, da der Knopf-Druck bereits ausreicht.

      @intux: Cooler Blog, interessante Mischung und auch über längere Zeit mit Inhalten gefüllt. Finde ich sehr gut, weiter so!

Kommentieren Sie den Artikel

Bitte bestätige diesen Kommentar!
Bitte den Namen hier eingeben

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.