Як налаштувати YubiKey в Linux за допомогою функції U2F

За допомогою апаратних ключів безпеки YubiKey ваша система отримує підвищений рівень захисту, а процес входу до облікових записів стає швидшим і зручнішим. Щоб легко налаштувати необхідні параметри в системі Linux, варто дотримуватись наведених інструкцій.

Налаштування YubiKey в середовищі Linux дещо відрізняється від налаштувань в інших операційних системах, таких як Windows. По-перше, для налаштування вам доведеться виконувати дії через термінал, а не графічний інтерфейс. По-друге, вам потрібно буде виконати кілька налаштувань, щоб унеможливити зловмисникам обхід певних обмежень. При цьому важливо, щоб ви не заблокували собі доступ до системи.

Кроки, які треба буде виконати:

• встановлення програмного забезпечення Yubico;
• налаштування та прив’язка ключа безпеки YubiKey;
• налаштування системи для використання ключів;
• усунення можливих несправностей.

Якщо плануєте використовувати ключі серій Security Key або YubiKey Bio, скористайтеся інструкцією з налаштування ключів за допомогою функції U2F (двофакторної автентифікації) нижче.

Сумісні ключі

Для налаштування YubiKey за допомогою функції U2F ви можете використовувати ключі будь-яких серій, що є в нашому інтернет-магазині, навіть Security Key та YubiKey Bio.

Способи встановлення програмного забезпечення Yubico

Існує декілька способів встановлення програмного забезпечення Yubico в Linux. Наприклад:

• Встановлення Автентифікатора Yubico.
• Встановлення Менеджера YubiKey.
• Використання вбудованих репозиторіїв.
• Використання пакетів PPA від Yubico.
• Компіляція з вихідного коду.

Більше інформації в статті: “Способи встановлення програмного забезпечення Yubico на Linux”.

Налаштування ключа безпеки YubiKey

Розглянемо налаштування ключа YubiKey у системі Ubuntu за допомогою функції U2F у серіях Security Key або YubiKey Bio (або інших). На основі даного прикладу ви зможете зробити аналогічні налаштування в схожих з Ubuntu системах.

1. Відкрийте термінал та запустіть команду, що інсталює відповідне програмне забезпечення в Ubuntu: sudo apt-get install libpam-u2f. 
2. Вставте ключ Security Key або YubiKey Bio.
3. Запустіть спочатку команду mkdir -p ~/.config/Yubico, потім pamu2fcfg > ~/.config/Yubico/u2f_keys. Після цього система може запитати PIN-код для активації функції FIDO2.
4. Коли ключ почне блимати, торкніться його, щоб підтвердити свою присутність. 

Для того, щоб не втратити доступ до вашого персонального пристрою, якщо ключ загубиться, додайте запасний ключ безпеки. Для цього вставте додатковий ключ, запустіть в терміналі команду pamu2fcfg -n >> ~/.config/Yubico/u2f_keys і торкніться ключа, коли він заблимає. Якщо запасного ключа поки що немає, ви можете пропустити цей крок та повернутися до нього пізніше. 

Для додаткового рівня безпеки вам також знадобиться перемістити файл u2f_keys в безпечніше місце. Туди, де вам потрібен дозвіл sudo для редагування файлу (наприклад, /etc).  

Для цього:

1. Створіть каталог (папку) з назвою Yubico (наприклад, /etc/Yubico). 
2. Перемістіть файл з ~/.config/Yubico в папку /etc/Yubico, виконавши команду: sudo mv ~/.config/Yubico/u2f_keys /etc/Yubico/u2f_keys.

Після того, як файл u2f_keys буде переміщено у безпечне місце, вам потрібно буде змінити і файл PAM, щоб потім модуль u2f PAM міг його знайти. Це робиться шляхом додавання “authfile=/etc/Yubico/u2f_keys” в кінець рядка файлу pam_u2f.so всередині файлу, необхідного для автентифікації. Зазвичай він знаходиться за адресою /usr/lib/x86_64-linux-gnu/security/pam_u2f.so, але вона може відрізнятися залежно від налаштувань.

Зверніть увагу, що після виконання цих дій ви втратите можливість змінювати файл без ключа, що може призвести до втрати доступу до вашого пристрою. Тому не рекомендуємо виконання цього кроку без наявності резервного ключа безпеки.

Налаштування системи для використання ключів безпеки

В цьому розділі розглянемо, як налаштувати ключі для входу і терміналу та при цьому не заблокувати собі вхід. Також розглянемо як налагодити систему у разі помилок. 

Перевірка конфігурації за допомогою команди sudo

Команда Sudo використовується для тестування, щоб користувач випадково не заблокував доступ до свого комп’ютера. Для її використання:

1. Відкрийте термінал та введіть команду: sudo nano /etc/pam.d/sudo.
2. Після відповіді знайдіть рядок «@include common-auth» та додайте до нього рядок:  auth       required   pam_u2f.so

Зверніть увагу! Якщо ви перемістили файл u2f_keys до каталогу /etc/Yubico/u2f_keys для підвищення рівня безпеки, то вам потрібно буде додати файл автентифікації та шлях конфігурації PAM, таким чином: auth       required   pam_u2f.so authfile=/etc/Yubico/u2f_keys.

1. Далі натисніть Ctrl+O, а потім Enter, щоб зберегти налаштування. При цьому не закривайте вікно термінала до завершення налаштувань. 
2. Відкрийте новий термінал та введіть команду: sudo echo test. Програма має запропонувати ввести пароль. Введіть пароль та натисніть Enter. 
1. Зверніть увагу, щоб без вставленого ключа YubiKey U2F автентифікація не відбудеться. Якщо ж вона пройде успішно, це означатиме, що модуль U2F PAM не встановлений, або є помилки у файлі /etc /pam.d/sudo, який ви змінювали. 
3. Вставте ключ YubiKey, відкрийте новий термінал та знову введіть команду: sudo echo test. Введіть пароль, коли програма запитає його. Після цього ви побачите, що ключ блимає. Торкніться його металевої частини, щоб показати свою присутність. 

Якщо після виконання всіх кроків автентифікація U2F пройде успішно, це означатиме, що ви все налаштували правильно. Тож ви можете переходити до наступного кроку. 

Примітка: якщо ви не хочете, щоб при запуску команди sudo система вимагала вставлення ключа, видаліть рядок, який ви щойно додали до файлу /etc/pam.d/sudo. 

Додавання аналогічних sudo команд для запиту ключа безпеки

Оскільки в різних версіях ОС стани команди sudo мають різні шляхи автентифікації, вам, можливо, доведеться відредагувати інший каталог, щоб налаштувати файл з інформацією PAM та зробити його дійсним. 

Список файлів, які можна редагувати для налаштування автентифікації, що є в Ubuntu 22.04. 

Знайдіть потрібний файл та додайте нижче запису «@include common-auth» такий рядок: auth       required   pam_u2f.so.

Примітка. Якщо ви переміщували файл u2f_keys до /etc/Yubico/u2f_keys, то вам потрібно буде додати файл автентифікації та шлях до конфігурації PAM таким чином: auth       required   pam_u2f.so authfile=/etc/Yubico/u2f_keys. 

Після збереження змін вам потрібно налаштувати систему таким чином, щоб вона вимагала YubiKey на випадок використання цієї програми.

Налаштування системи на вимогу ключа при вході в систему

1. Відкрийте термінал та введіть команду: sudo nano /etc/pam.d/gdm-password. Маєте отримати відповідь:

#for Password + YubiKey

Add the line below the “@include common-auth” line. 

@include yubico-required

#for YubiKey only 

Add the line above the “@include common-auth” line. 

@include yubico-sufficient

1. Після цього натисніть Ctrl+X, потім  Enter, щоб зберегти налаштування.

Налаштування системи на вимогу при користуванні терміналом

1. Відкрийте термінал та запустіть команду: sudo nano /etc/pam.d/login. 
2. Додайте рядок після запису «@include common-auth»: auth       required   pam_u2f.so 

Зверніть увагу! Якщо ви переміщували файл u2f_keys до /etc/Yubico/u2f_keys, то вам потрібно буде додати файл автентифікації та шлях до конфігурації PAM таким чином: auth       required   pam_u2f.so authfile=/etc/Yubico/u2f_keys. 

1. Натисніть Ctrl+X, потім Enter — так ви збережете налаштування та закриєте файл. 

Після виконання цих дій ви не зможете увійти в систему без U2F. 

Усунення можливих несправностей

Якщо у вас виникають проблеми з входом в систему, але ви не можете знайти причину, увімкніть налагодження в модулі Yubico PAM. Таким чином ви зможете відстежувати помилки. 

Для цього:

1. Відкрийте термінал та запустіть команду sudo touch /var/log/pam_u2f.log
2. Якщо ваша система Ubuntu 17.10 або новіша, запустіть: sudo nano /etc/pam.d/gdm-password. Якщо ваша система Ubuntu 17.04 або старіша, запустіть: sudo nano /etc/pam.d/lightdm
3. Додайте запис «debug debug_file=/var/log/pam_u2f.log» у кінець рядка, який містить pam_u2f.so. 

Після виконання цих дій всі ваші наступні події зберігатимуться у файлі /var/log/pam_u2f.log. 

На цьому нашу інструкцію завершено. Якщо ви ще не обрали ключ або шукаєте додатковий апаратний пристрій, ми радимо переглянути пропозиції, доступні в нашому інтернет-магазині. У разі виникнення питань щодо сумісності ключів, будь ласка, звертайтеся до наших менеджерів.

Схожі матеріали в Базі Знань