Аппаратные ключи безопасности YubiKey делают вашу систему более защищенной. А саму процедуру входа в аккаунты — более быстрой и удобной. Следуйте следующим инструкциям, чтобы легко добавить необходимые настройки в Linux.
Настройка YubiKey в Linux значительно отличается от настроек в других ОС, например в Windows. Во-первых, вам нужно будет проводить операции через терминал, а не через пользовательский интерфейс. Во-вторых, вам понадобится сделать не одну, а ряд настроек для того, чтобы хакеры не смогли обойти определенные ограничения, при этом чтобы вы сами себе не заблокировали доступ к системе. Имеются в виду следующие действия:
- установка программного обеспечения Yubico;
- настройка и привязка ключа безопасности YubiKey;
- настройка системы для использования ключей;
- устранение возможных неисправностей.
Если вы хорошо знаете английский, можете просмотреть это видео, оно касается настройки с использованием протокола HMAC-SHA1. Если вам удобнее текстовый формат, ознакомьтесь с текстовой версией инструкции ниже.
Если планируете использовать ключи серий Security Key или Yubikey Bio, воспользуйтесь инструкцией по настройке ключей с помощью функции U2F.
Совместимые ключи
В зависимости от того, как вам нужно настроить систему (через протокол “вызов-ответ” HMAC-SHA1 или U2F), вам понадобится подобрать совместимые ключи. Для входа без пароля или двухфакторной аутентификации подойдут ключи 5-й серии или FIPS. А вот серии Bio или Security Key можно использовать только для U2F.
Способы установки программного обеспечения Yubico
Установить программное обеспечение Yubico в Linux можно несколькими способами:
- установив аутентификатор Yubico;
- установив YubiKey Manager;
- использовав встроенные репозитории;
- использовав пакеты PPA Yubico;
- выполнив компиляцию исходного кода.
Больше информации в статье: “Способы установки программного обеспечения Yubico на Linux”.
Настройка ключа безопасности YubiKey
Рассмотрим настройки ключа YubiKey в системе Ubuntu с помощью функции HMAC-SHA1 “вызов-ответ”. На основе данного примера вы сможете произвести аналогичные настройки в схожих с Ubuntu системах.
- Откройте терминал и запустите команду для установки программного обеспечения Ubuntu:
sudo apt install libpam-yubico yubikey-manager
. - Вставьте ключ YubiKey.
- Запустите команду:
ykman otp chalresp -g 2
. - Подтвердите настройки, нажав клавишу Y, потом Enter.
- Для привязки ключа к аккаунту запустите команду:
ykpamcfg -2
. После этого вы получите подтверждение от системы в формате:«Збережений початковий виклик», «/home/<USER>/.yubico/challenge-<SERIAL>»
. где на месте<USER>
будет ваше имя пользователя, а вместо<SERIAL>
– серийный номер ключа YubiKey. Если файл не запускается, перейдите к пункту “Устранение неисправностей”.
Для того чтобы не потерять доступ к вашему персональному прибору в случае если вы потеряете ключ, мы рекомендуем добавить запасной аппаратное устройство. Для этого вам нужно будет повторить те же операции, что и при добавлении первого ключа. Если запасного ключа нет, вы можете вернуться к этому шагу позже.
Для настройки дополнительного уровня безопасностивам нужно переместить файл challenge-<SERIAL> в каталог ОС, где вам нужно будет получать разрешение sudo для редактирования файла (например, /etc). Для этого выполните следующие действия:
- Создайте каталог с названием yubico (sudo mkdir /etc/yubico).
- Переместите файл “вызова-ответа” в /etc/yubico, при этом вместо challenge-<SERIAL> следует написать username-<SERIAL>. Чтобы переместить файл из ~/.yubico до /etc/yubico и переименовать пользователя для входа, выполните команду:
sudo mv ~/.yubico/challenge-<SERIAL> /etc/yubico/`whoami`-<SERIAL>
.
После того, как файл challenge-<SERIAL> будет перемещен в безопасное место, файл PAM также нужно будет изменить, чтобы он работал корректно. Для этого вам понадобится добавить в конфигурацию PAM-файла “chalresp_path=/etc/yubico
” в конце.
Обратите внимание, что после выполнения этих действий у вас не будет возможности изменять файл, если вы потеряете ключ. Это может привести к блокировке доступа. Не рекомендуем делать этот шаг, не добавив запасной ключ безопасности.
Настройка системы для использования ключей безопасности
В этом разделе рассмотрим, как настроить ключи с помощью команд sudo и при этом не заблокировать вход. Также рассмотрим, как отладить систему в случае ошибок.
Журнал отладки
Если у вас возникли проблемы с входом, вы можете включить систему отладки, чтобы обнаружить причину. Для этого запустите терминал и укажите: sudo touch /var/log/pam_yubico.log
. Далее найдите строчку pam_yubico.so и добавьте в конце: “debug debug_file=/var/log/pam_yubico.log”
.
После этого все события будут храниться в журнале отладки, и вы сможете найти ошибку и устранить ее. Если журнал настройки вам не нужен, вы можете отключить его, удалив строку “debug debug_file=/var/log/pam_yubico.log” из файлов pam.
Команда sudo
Далее посмотрим, как наладить систему добиваться ключа при использовании команды sudo (эта команда помогает получать привилегии суперпользователя) и при этом не заблокировать себя.
- Откройте терминал и включите журнал настройки.
- Создайте конфигурационный файл PAM, в котором должно быть указано:
#this will require password + YubiKey for Login
sudo nano /etc/pam.d/yubico-required
auth required pam_yubico.so mode=challenge-response debug debug_file=/var/log/pam_yubico.log
#This will only require YubiKey for Login
sudo nano /etc/pam.d/yubico-sufficient
auth sufficient pam_yubico.so mode=challenge-response debug debug_file=/var/log/pam_yubico.log
- Нажмите Ctrl+X, потом Enter, чтобы сохранить файл, но окно терминала пока не закрывайте, иначе не сможете больше ничего изменить. Вы должны получить ответ:
sudo nano /etc/pam.d/sudo
#for password + YubiKey
Add the line below the “@include common-auth” line.
@include yubico-required
#for YubiKey only
Add the line above the “@include common-auth” line.
@include yubico-sufficient
- Удалите ключ YubiKey с компьютера.
- Запустите новый терминал и введите команду:
sudo echo test
. - После этого приложение запросит у вас пароль. Введите его и нажмите Enter.
- Поскольку ключ не вставлен, проверка подлинности должна закончиться неудачей. Если же она прошла успешно или ищите ошибки в изменениях файла /etc/pam .d/sudo, или убедитесь, что у вас правильно установлен модуль Yubico PAM.
- Вставьте ключ безопасности и откройте новый терминал.
- Снова введите sudo echo test, затем, когда приложение отправит соответствующий запрос, введите пароль и нажмите Enter.
- Если авторизация с включенным ключом пройдет успешно, это означает, что вы правильно настроили ключ и систему. Остается выполнить шаги по настройке системы для запроса использования ключа при входе.
Настройка системы по требованию ключа при входе в систему
- Откройте терминал и введите команду:
sudo nano /etc/pam.d/gdm-password
. После этого вы должны получить ответ:
#for Password + YubiKey
Add the line below the “@include common-auth” line.
@include yubico-required
#for YubiKey only
Add the line above the “@include common-auth” line.
@include yubico-sufficient
- После этого нажмите Ctrl+X, потом Enter, чтобы сохранить настройки.
Настройка системы по требованию при использовании терминала
Таким же образом вы можете настроить терминал только введя немного другую команду: sudo nano /etc/pam.d/login.
Устранение возможных неисправностей
Иногда, еще при запуске файла ykpamcfg -2, вы можете увидеть ошибку, будто файл уже существует. Такое может произойти, если к системе уже был привязан один из ключей YubiKey раньше. Для очистки связей со старым аппаратным устройством и добавления нового ключа запустите команду в терминале: rm ~/.yubico/challenge-<SERIAL>
. Только вместо <SERIAL>
укажите серийный номер нового ключа.
На этом инструкция завершена. Если вы еще не выбрали ключ, или ищете запасное аппаратное устройство, приглашаем просмотреть предложения в нашем интернет-магазине. Если есть вопросы о совместимости ключей, свяжитесь с нашими менеджерами.
Похожие материалы в Базе Знаний
Как защититься от фишинга с помощью YubiKey на Binance
Binance — одна из самых крупных и популярных бирж криптовалюты в мире. С ее помощью можно отслеживать движения рынка криптовалюты, инвестировать в цифровые активы и проводить торговые операции в режиме реального времени. Конечно, для того чтобы эффективно пользоваться...
Аутентификатор Yubico — инструкция по использованию
Эта инструкция создана для того, чтобы помочь вам настроить ключи YubiKey в любых сервисах, предлагающих подключение двухфакторной аутентификации с помощью генерирующих коды программ-аутентификаторов.
5 способов установки ПО Yubico на Linux
Для того, чтобы пользоваться ключами YubiKey в системе Linux, вам понадобится установить соответствующее программное обеспечение (ПО) Yubico: Аутентификатор Yubico; YubiKey Manager; Встроенные репозитории; Пакеты PPA Yubico; Компиляция из исходного кода. Установка...