атлична.

еще можно прикрутить к десктопным окружениям для блокировки/разблокировки. ну типа как KBlueLock по BT-девайсам делает

PAM изучал?

За сколько продаётся всё это?

> еще можно прикрутить к десктопным окружениям для блокировки/разблокировки

К login, gdm, kdm, su и sudo уже прикручено через PAM :-)

круто

А что должно быть на USB-устройстве? Файл autorun.inf?

исходники будут?

> PAM изучал?

Ага. Типа, даже осилил. Правда, с SSHD так и не совладал - но не больно то и хотелось, оно ведь для локальных сервисов предназначено.

> За сколько продаётся всё это?

Пока не решил :-) Но всяко не за миску риса - либо дороже (много дороже), либо дешевле (даром) :-)))

> А что должно быть на USB-устройстве? Файл autorun.inf?

Ничего. Совсем. Это вообще может быть мобильник с CDC, или BT-dongle :-)

> исходники будут?

После того, как разберусь с возможностью юзера рулить списокм устройств без рутовых привилегий :-)

>Ничего. Совсем. Это вообще может быть мобильник с CDC, или BT-dongle :-)

лол :) воткнул мышку - вошел в систему. интересно )

Ничего. Совсем.

да ладно, я просто пошутил на счет autorun.inf

> да ладно, я просто пошутил на счет autorun.inf

Да я не сантехник, шутку понял :-)

> воткнул мышку - вошел в систему

Неа :-( С мышкой все не так просто - нужен USB-шный iSerial от устройства. У моей мыши его нет, так что облом. Зато есть у UPS(!) :-)

После того, как разберусь с возможностью юзера рулить списокм устройств без рутовых привилегий :-)

Это же не связанно с самим модулем РАМ, а только с его конфигом.

а какова схема?

usb -> udev -> pam -> ??? -> PROFIT

В жернале "Хакер" года 2 назад вроде как была статья с последовательностью шагов по запуску аутентификации USB-PAM.. не от туда?)

а усб-хабов он есть?

http://pamusb.org/

http://en.gentoo-wiki.com/wiki/PAM_Authentication_using_USB_Devices

А это что?

Круто! Дай напосмотреть :)

> А это что?

Каждый линуксоид должен зделать свою сборку ядра, свой патч к ядру, свой модуль для pam и изобрести еще много велосипедов

Написать ФС, ... ?

http://pamusb.org/

Перенеси тему в девелопмент и купи себе очки.

Перенести.

Перенести тему в Development, автору купить цветы.

И губную помаду.

Чорт. Я долго думал, какое применение для своего айпода изобразить, когда я использую линюкс, а его во как можно ведь.

> нужен USB-шный iSerial от устройства. У моей мыши его нет, так что облом. Зато есть у UPS(!) :-)

Суровые челябинские мужики входят в систему по UPS.

> Суровые челябинские мужики входят в систему по UPS.

IMHO, гораздо лучше быть суровым челябиснким мужиком, входящим в систему по UPS, чем быть знойным метросексуалом, в которого без ваз^WUPSа входит система :-)

Надо написать модуль PAM, который считывает комбинацию пальцев с вебки.

> IMHO, гораздо лучше быть суровым челябиснким мужиком, входящим в систему по UPS, чем быть знойным метросексуалом, в которого без ваз^WUPSа входит система :-)

Ну, если выбор только из этих двух вариантов... %)

Низкая надёжность, ведь эти 2-3 фигуры будут показываться чаще всего =)

/me хотел бы вход по смарт-карте, типо Gemplus какой-нибудь, pcsk x.509 аутентификацию. Есть такое? В венде есть, правда, через сёрд парти софтвэр вроде :)

> суровым челябиснким мужиком, входящим в систему по UPS

Суровым челябинским линуксоидам все равно, что носить в кармане: UPS или пива бочонок...

> Низкая надёжность, ведь эти 2-3 фигуры будут показываться чаще всего =)

Пароль 12345 тоже у народа часто встречается.

1023 комбинации, не считая поворота ладони, полусогнутых, перекрещенных пальцев. А можно показывать комбинацию в несколько пассов руками.

> /me хотел бы вход по смарт-карте, типо Gemplus какой-нибудь, pcsk x.509 аутентификацию

pam_pkcs11

Я его даже настраивал и оно типа заработало... Но мне не понравилось, ибо карточка аладиновская, то бишь шлючный гнуснопроприетарный блоб.

>несколько пассов руками
Ммм... Вспоминается Nox. Кучка пассов и ядрёный фаерболл =) Вот это уже рабочая идея!

под FreeBSD 8.x надо патчить? :(

ок, спасибо за наводку, буду рыть

> А можно показывать комбинацию в несколько пассов руками.

а еще лучше - авторизацию по морде лица.

> а еще лучше - авторизацию по морде лица.

Проходили уже: хацкеры взломали такую защиту на висте с помощью фотографии, лол.

а как насчет "морда в анфас, потом медленно повернуть морду налево, потом направо"?

И причмнокнуть губами, легонько похлопав глазками (:

Free or gtfo!

>Пока не решил :-) Но всяко не за миску риса - либо дороже (много дороже), либо дешевле (даром) :-)))

А за бомж-пакет?

Суровые челябинские мужики входят в систему по UPS.

s/UPS/USB-клавиатуре/

Давно читал про то, как сделать флэшку-ключ и проходить аутентификацию с помощью usb-pam. Это оно или нечто более крутое?

/me представил администратора, танцующего у сервера для аутентификации

Ну, главные фичи это детальный контроль, например можно аутентифицироваться как по system-wide базе (аналог /etc/passwd), так и по девайсам, перечисленным в аналоге ~/.ssh/authorized_keys, для каждого юзера ограничение это можно настроить индивидуально, то есть Вася может сам определять свои флэшки, а Пете это делает только рут, аналогично для каждого сервиса ограничение настраивается.

Например, sudo берет данные из системной базы, gdm из системной и юзерской, а gnome-screensaver только из домашнего каталога, а login пускает в систему ивана по флэшке или паролю, а машу только по флэшке.

Ну и понятно, никакого XML :-)

Мама дорогая ... я что то подобное в 2001 написал ... тока было по токену iButton и COM порту.

могу подкинуть идейку для дальнейшего развития модуля - доп. аутентификация по ключику на этой флешке. ключик можно запрятать мимо таблицы разбиения/файловой системы, т.е. как файл его видно не будет.

Дополнение для параноиков. При вставлении "не той" флешки включать механизм саморазрушения.

Для законченых параноиков. Помимо собственно ID опеределять место флешки на шине и делать из этого факта далеко идущие выводы. Шина USB орагнизована в виде дерева вершиной которого является корневой хаб (их вообще-то несколько), узлами - некорневые хабы, а листями - устройства.

> При вставлении "не той" флешки включать механизм саморазрушения.

Ага, сидит типа жена за компом, фотографии сортирует. Ну и карточку от фотоаппарата подключила, чтобы фотографии слить. И тут значит подключаюсь я по ssh, и командую: sudo -i. И в этот момент, модуль видит не ту флэшку (карточку от фотоаппарата), и делает rm -rf /.

Ненене, не надо - мне семейная жизть дороже :-)