LINUX.ORG.RU

Решения для passwordless login (Yubikey или аналоги)

 , ,


2

3

Меня задолбало уже вводить каждый раз пароль для разблокировки компа. Хочется что б он автоматически разблокировался с ключа.

Посему вопрос к счастливым обладателям Yubikey: поддерживается ли в онтопике безпарольный вход с данным девайсом? Беглый гуглинг дал только гайд как настроить 2FA вход, но это не то, что я хочу. Хочу просто вставлять токен в комп и разблокировать касанием. Под виндой это поддерживается.

Deleted

А зачем тебе именно юби. Достаточно будет обычной флешки/сд карточки, с файлом ключа на ней.

А дальше копай, какой именно софт ты хочешь «разблокировать». Если это display manager, то кури ман по нему, как к нему прикручиваются разные аутентификации.

anonymous
()
Ответ на: комментарий от anonymous

Yubikey потому, что его еще для 2FA на сайтах можно использовать и для менеджера паролей, а с NFC ещё и на мобиле. Удобно, когда всё в одном.

А так то, да, ключ хоть на дискету можно записать и разблокировать с нее. Я раньше хотел с али заказать RFID ридер и со смарткарты разблокировать, но теперь вот думаю о yubikey.

Deleted
()
Ответ на: комментарий от deadNightTiger

Это я видел, непонятно поддерживается ли passwordless login. Там описано как сделать 2FA, и ещё есть мануал с использованием RADIUS сервера и вроде как 1FA. Поэтому и спрашиваю об историях успеха, но, видимо, придётся самому пробовать.

Deleted
()
Ответ на: комментарий от Deleted

Ну так это зависит от того, что в /etc/pam.d написано. Если впишешь auth sufficient pam_yubico.so, то залогинит и без пароля.

deadNightTiger ★★★★★
()

Опасно это все, забудешь разок токен вынуть... Особенно если дома. Хоть пинкод должно спрашивать...

slapin ★★★★★
()

Может тогда проще смотреть наличие mac адреса bluetooth/wifi твоего телефона в range? Если близко, то разблокировать.

По степени безопасности в целом это не сильно будет отличаться, но хотя бы меньше вероятность того, что ты его забудешь.

Deleted
()
Ответ на: комментарий от slapin

Насчёт дома я не беспокоюсь. Мне больше на работе раздражает необходимость вводить пароль по двадцать раз на дню. Я всегда, когда встаю из-за стола, лочу комп и беру мобилу. Так что токен я, думаю, не буду забывать вытаскивать.

Deleted
()
Ответ на: комментарий от aquadon

Бесят они меня, я мб косорукий, но с первого раза отпечаток у меня почти никогда не распознает. То слишком быстро провел, то не посередине, то руки потные.

Deleted
()
Ответ на: комментарий от Deleted

А кстати нет ли под ведроид такой штуки, чтобы с телефона подтверждать логин на комп типа duo mobile, только открытой? И чтобы без сторонних сервисов, прямо по wifi?

Тогда бы по идее пришел, клацнул, тапнул на телефоне в аппу и сидишь работаешь, ушел - залочил.

slapin ★★★★★
()
Последнее исправление: slapin (всего исправлений: 1)
Ответ на: комментарий от Deleted

Может тогда проще смотреть наличие mac адреса bluetooth/wifi твоего телефона в range? Если близко, то разблокировать.

Ну во-первых близко это понятие относительное — я могу в 5 метрах от компа стоять на стендапе, а комп должен быть залочен. А во-вторых мобила может сесть и т.д.

По степени безопасности в целом это не сильно будет отличаться, но хотя бы меньше вероятность того, что ты его забудешь.

Я мобилу легко могу дома забыть, а вот связку ключей от дома проблематично забыть — я дверь на ключ всегда запираю.

Deleted
()
Ответ на: комментарий от Deleted

Надо просто много образцов вводить под разные условия. Я таки осилил нормальную работу отпечатка.

slapin ★★★★★
()
Ответ на: комментарий от slapin

А если забыл телефон = вводишь полноценно пароль.

slapin ★★★★★
()
Ответ на: комментарий от aquadon

На смартфоне у меня тоже не всегда разблокируется из-за потных рук. Приходится пин вводить иногда.

Deleted
()
Ответ на: комментарий от Deleted

Это да, бывает. У меня уже на автомате вытереть палец о джинсы, а потом брать телефон.

aquadon ★★★★★
()
Ответ на: комментарий от aquadon

Так оно через вайфай работает, мобила с компом должны в одной сетке быть. Дома-то ещё норм, а вот на работе у нас мобилы в отдельной изолированной сетке сидят.

Deleted
()
Ответ на: комментарий от Deleted

а вот на работе у нас мобилы в отдельной изолированной сетке сидят

У меня тоже, потому все мои устройства объединены в VPN.

aquadon ★★★★★
()
Ответ на: комментарий от slapin

А кстати нет ли под ведроид такой штуки, чтобы с телефона подтверждать логин на комп типа duo mobile, только открытой? И чтобы без сторонних сервисов, прямо по wifi?

Вроде как KDEConnect это умеет, но это не для меня.

Deleted
()

Еще, кстати, вспомнил о таком возможном побочном эффекте. В KDE есть KWallet, в Gnome есть Gnome Keyring. При вооде пароля для логина они разблокируют связки паролей. Если настроить автовход, то потом нужно будет отдельно разблокировать эти штуки.

aquadon ★★★★★
()
Ответ на: комментарий от aquadon

У меня тоже, потому все мои устройства объединены в VPN.

У нас за такое анально карают. Рабочая локалка сидит за файерволом с мониторингом трафика. Если VPN задетектят, то тебе устроят ататат. А когда я на банк работал, там в течении получаса тебя выкидывали на мороз за нарушение секюрити полиси.

Deleted
()

Хочу просто вставлять токен в комп и разблокировать касанием.

Задолбаешься вставлять-вынимать. Тогда уже токен без проводов только.

aquadon ★★★★★
()
Ответ на: комментарий от aquadon

При вооде пароля для логина они разблокируют связки паролей. Если настроить автовход, то потом нужно будет отдельно разблокировать эти штуки.

Ну вроде как с Yubikey они работают, т.е. максимум придется по ключу еще раз тапнуть.

Deleted
()

https://wiki.archlinux.org/index.php/Pam_usb#Setting_up_the_PAM_module

auth    sufficient      pam_usb.so
auth    required        pam_unix.so nullok_secure

The sufficient keyword means that if pam_usb allows the authentication, then no password will be asked. If the authentication fails, then the default password-based authentication will be used as fallback.

https://developers.yubico.com/yubico-pam/

Так хочешь?

aquadon ★★★★★
()
Последнее исправление: aquadon (всего исправлений: 2)

Короче, заказал я Yubikey. Посмотрим что из этого получится. По результатам отпишусь.

Deleted
()

Отписываюсь по результатам:

Настроить passwordless login с yubikey проще парёной репы.

Надо:

  1. Установить libpam_u2f.so из их репы

  2. Добавить в соответствующие конфиги pam (минимум для sudo и для login manager) строчку auth sufficient pam_u2f.so перед строкой @include common-auth

  3. Добавить правило udev ACTION=="remove", ATTRS{idVendor}=="1050", RUN+="/bin/loginctl lock-sessions"

И всё, теперь для логина можно тапнуть по ключу или, если ключа нет, ввести пароль. Компьютер блокируется, когда вытаскиваешь ключ из usb порта.

CC @aquadon

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Deleted

auth sufficient pam_u2f.so

Не пропущено ли здесь чего, типа параметра authfile? Я вставляю свой yubikey, и... логинюсь в вашу сессию?

the1 ★★
()
Ответ на: комментарий от the1

Точно! Там еще ж ключ надо зарегистрировать свой.

pamu2fcfg > ~/.config/Yubico/u2f_keys

Иначе магии не будет.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Deleted

Что-то я пропустил уведомление. Теперь прочитал. Спасибо, что отписал!

aquadon ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.