Desktop mit USB-Token schützen

4
8885
470906 / Pixabay

Mit einem Yubikey können einige Accounts und Zugänge, wie Google oder auch Nextcloud, per Zwei-Faktor-Authentifizierung abgesichert werden. Interessant ist auch, dass man seinen Debian-Desktop mit U2F schützen kann, wenn dort als Displaymanager GDM installiert ist. 

Vorgehensweise

Um zu testen, ob der Yubikey vom System erkannt wird, setzt man folgenden Befehl ab:

Yubikey

Die Ausgabe sieht dann in etwa so aus:

Wird ein Token identifiziert, installiert man die erforderlichen Bibliotheken und erstellt das Verzeichnis ~/.config/Yubico.

Nun wird die Konfiguration in das zuvor erstellte Verzeichnis geschrieben. Dazu muss der Button des Keys, wenn dieser blinkt, berührt werden, um den Vorgang abzuschließen.

Jetzt muss in die /etc/pam.d/gdm-password mit 

folgender Eintrag an den Anfang der Datei gesetzt werden.

Beim nächsten Neustart wird nun zuerst der USB-Token betätigt und danach das Passwort zur Anmeldung eingegeben, um sich auf dem Rechner einzuloggen.

Nachtrag

Es ist natürlich auch möglich auf die Passworteingabe zu verzichten und den Computer mit dem Token oder Passwort zu entsperren. Hierzu trägt man in die /etc/pam.d/gdm-password folgendes ein:

Dazu muss im Schlüsselbund jedoch noch das Passwort für die Anmeldung deaktiviert werden. Hierbei muss man sich aber im Klaren sein, dass bei Verlust der neue Besitzer des Keys Zugang zu dem Computer erlangt.

4 Kommentare

  1. Für nichts davon braucht man Debian oder GDM. Nicht mal einen Desktop.

    Übrigens: Yubikey und Passwort? Da ist das Passwort doch eine totale Verschwendung.

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein