Как настроить YubiKey в Linux с помощью функции U2F

С помощью аппаратных ключей безопасности YubiKey ваша система получает повышенный уровень защиты, а процесс входа в аккаунты становится быстрее и удобнее. Чтобы легко настроить необходимые параметры в системе Linux, следует придерживаться указанных инструкций.

Настройки YubiKey в Linux несколько отличаются от настроек в других операционных системах, таких как Windows. Во-первых, для настройки вам придется выполнять действия через терминал, а не графический интерфейс. Во-вторых, вам нужно будет выполнить несколько настроек, чтобы сделать невозможным злоумышленникам обход определенных ограничений. При этом важно, чтобы вы не заблокировали доступ к системе.

Шаги, которые нужно будет выполнить:

• установка программного обеспечения Yubico;
• настройка и привязка ключа безопасности YubiKey;
• настройка системы для использования ключей;
• устранение возможных неисправностей.

Если вы планируете использовать ключи серии Security Key или YubiKey Bio, воспользуйтесь инструкцией по настройке ключей с помощью функции U2F (двухфакторной аутентификации) ниже.

Совместимые ключи

Для настройки YubiKey с помощью функции U2F вы можете использовать ключи любых серий, имеющихся в нашем интернет-магазине, даже Security Key и YubiKey Bio.

Способы установки программного обеспечения Yubico

Существует несколько способов установки программного обеспечения Yubico в Linux. Например:

• Установка Аутентификатора Yubico.
• Установка менеджера YubiKey.
• Использование встроенных репозиториев.
• Использование пакетов PPA Yubico.
• Компиляция из исходного кода.

Больше информации в статье: “Способы установки программного обеспечения Yubico на Linux”.

Настройка ключа безопасности YubiKey

Рассмотрим настройки ключа YubiKey в системе Ubuntu с помощью функции U2F в сериях Security Key или YubiKey Bio (или других). На основе данного примера вы сможете произвести аналогичные настройки в схожих с Ubuntu системах.

1. Откройте терминал и запустите команду, устанавливающую соответствующее программное обеспечение в Ubuntu: sudo apt-get install libpam-u2f.
2. Вставьте ключ Security Key или YubiKey Bio.
3. Запустите сначала команду mkdir -p ~/.config/Yubico, затем pamu2fcfg > ~/.config/Yubico/u2f_keys. После этого система может запросить PIN-код для активации функции FIDO2.
4. Когда ключ начнет мигать, коснитесь его, чтобы подтвердить свое присутствие.

Для того чтобы не потерять доступ к вашему персональному устройству, если ключ потеряется, добавьте запасной ключ безопасности. Для этого вставьте дополнительный ключ, запустите в терминале команду pamu2fcfg -n >> ~/.config/Yubico/u2f_keys и коснитесь ключа, когда он мигает. Если запасного ключа нет, вы можете пропустить этот шаг и вернуться к нему позже.

Для дополнительного уровня безопасности вам также понадобится переместить файлu2f_keys в более безопасное место. Туда, где вам нужно разрешение sudo для редактирования файла (например, /etc).

Для этого:

1. Создайте каталог (папку) с названием Yubico (например, /etc/Yubico).
2. Переместите файл из ~/.config/Yubico впапку /etc/Yubico, выполнив команду sudo mv ~/.config/Yubico/u2f_keys /etc/Yubico/u2f_keys.

После того, как файл u2f_keys будет перемещен в безопасное место, вам нужно будет изменить и файл PAM, чтобы затем модуль u2f PAM мог его найти. Это делается путем добавления “authfile=/etc/Yubico/u2f_keys” в конец строки файла pam_u2f.so внутри файла, необходимого для проверки подлинности. Обычно он находится по адресу /usr/lib/x86_64-linux-gnu/security/pam_u2f.so, но она может отличаться в зависимости от настроек.

Обратите внимание, что после выполнения этих действий вы потеряете возможность изменять файл без ключа, что может привести к потере доступа к устройству. Поэтому не рекомендуем выполнение этого шага без резервного ключа безопасности.

Настройка системы для использования ключей безопасности

В этом разделе рассмотрим, как настроить ключи для входа и терминала и при этом не заблокировать вход. Также рассмотрим, как наладить систему в случае ошибок.

Проверка конфигурации с помощью команды sudo

Команда Sudo используется для тестирования, чтобы пользователь случайно не заблокировал доступ к компьютеру. Для ее использования:

1. Откройте терминал и введите команду: sudo nano /etc/pam.d/sudo.
2. После ответа найдите строку «@include common-auth» и добавьте к ней строку: auth required pam_u2f.so

Обратите внимание!Если вы переместили файл u2f_keys в каталог/etc/Yubico/u2f_keys для повышения уровня безопасности, то вам нужно будет добавить файл аутентификации и путь конфигурации PAM, таким образом: auth required pam_u2f.so authfile=/etc/Yubico/u2f_keys.

1. Далее нажмите Ctrl+O, а затем Enter, чтобы сохранить настройки. При этом не закрывайте окно терминала до завершения настроек.
2. Откройте новый терминал и введите команду: sudo echo test. Приложение должно предложить ввести пароль. Введите пароль и нажмите Enter.
1. Обратите внимание, чтобы без вставленного ключа YubiKey U2F аутентификация не произойдет. Если же она пройдет успешно, это означает, что модуль U2F PAM не установлен, или есть ошибки в файле /etc /pam.d/sudo, который вы меняли.
3. Вставьте ключ YubiKey, откройте новый терминал и снова введите команду: sudo echo test. Введите пароль, когда приложение запросит его. После этого вы увидите, что ключ мигает. Коснитесь его металлической части, чтобы показать свое присутствие.

Если после выполнения всех шагов аутентификация U2F пройдет успешно, это означает, что вы все настроили правильно. Поэтому вы можете перейти к следующему шагу.

Примечание: если вы не хотите, чтобы при запуске команды sudo система требовала вставки ключа, удалите строку, которую вы только что добавили в файл /etc/pam.d/sudo.

Добавление аналогичных команд sudo для запроса ключа безопасности

Поскольку в разных версиях ОС состояния команды sudo имеют разные пути аутентификации, вам, возможно, придется отредактировать другой каталог, чтобы настроить файл с информацией PAM и сделать его действительным.

Список файлов, которые можно редактировать для настройки аутентификации в Ubuntu 22.04.

Найдите нужный файл и добавьте ниже записи @include common-auth следующую строку: auth required pam_u2f.so.

Примечание. Если вы перемещали файл u2f_keysв/etc/Yubico/u2f_keys, то вам нужно будет добавить файл аутентификации и путь к конфигурации PAM следующим образом: auth required pam_u2f.so authfile=/etc/Yubico/u2f_keys.

После сохранения изменений необходимо настроить систему таким образом, чтобы она требовала YubiKey на случай использования этого приложения.

Настройка системы по требованию ключа при входе в систему

1. Откройте терминал и введите команду: sudo nano /etc/pam.d/gdm-password. Должны получить ответ:

#for Password + YubiKey

Add the line below the “@include common-auth” line.

@include yubico-required

#for YubiKey only

Add the line above the “@include common-auth” line.

@include yubico-sufficient

1. После этого нажмите Ctrl+X, потом Enter, чтобы сохранить настройки.

Настройка системы по требованию при использовании терминала

1. Откройте терминал и запустите команду: sudo nano /etc/pam.d/login.
2. Добавьте строку после записи @include common-auth: auth required pam_u2f.so

Обратите внимание! Если вы перемещали файл u2f_keysв/etc/Yubico/u2f_keys, то вам нужно будет добавить файл аутентификации и путь к конфигурации PAM следующим образом: auth required pam_u2f.so authfile=/etc/Yubico/u2f_keys.

1. Нажмите Ctrl+X, затем Enter — так вы сохраните настройки и закроете файл.

После выполнения этих действий вы не сможете войти в систему без U2F.

Устранение возможных неисправностей

Если у вас возникли проблемы с входом в систему, но вы не можете найти причину, включите настройки в модуле Yubico PAM. Таким образом, вы сможете отслеживать ошибки.

Для этого:

1. Откройте терминал и запустите команду sudo touch /var/log/pam_u2f.log
2. Если ваша система Ubuntu 17.10 или более новая, запустите: sudo nano /etc/pam.d/gdm-password. Если ваша система Ubuntu 17.04 или старше, запустите: sudo nano /etc/pam.d/lightdm
3. Добавьте запись «debug debug_file=/var/log/pam_u2f.log» в конец строки, содержащий pam_u2f.so.

После выполнения этих действий все ваши последующие события будут храниться в файле /var/log/pam_u2f.log.

На этом наша инструкция завершена. Если вы еще не выбрали ключ или ищете дополнительное аппаратное устройство, мы рекомендуем просмотреть предложения, доступные в нашем интернет-магазине. В случае возникновения вопросов о совместимости ключей, пожалуйста, обращайтесь к наших менеджеров.

Похожие материалы в Базе Знаний