Как настроить YubiKey в Linux с помощью функции “вызов-ответ”

Аппаратные ключи безопасности YubiKey делают вашу систему более защищенной. А саму процедуру входа в аккаунты — более быстрой и удобной. Следуйте следующим инструкциям, чтобы легко добавить необходимые настройки в Linux.

Настройка YubiKey в Linux значительно отличается от настроек в других ОС, например в Windows. Во-первых, вам нужно будет проводить операции через терминал, а не через пользовательский интерфейс. Во-вторых, вам понадобится сделать не одну, а ряд настроек для того, чтобы хакеры не смогли обойти определенные ограничения, при этом чтобы вы сами себе не заблокировали доступ к системе. Имеются в виду следующие действия:

• установка программного обеспечения Yubico;
• настройка и привязка ключа безопасности YubiKey;
• настройка системы для использования ключей;
• устранение возможных неисправностей.

Если вы хорошо знаете английский, можете просмотреть это видео, оно касается настройки с использованием протокола HMAC-SHA1. Если вам удобнее текстовый формат, ознакомьтесь с текстовой версией инструкции ниже.

Если планируете использовать ключи серий Security Key или Yubikey Bio, воспользуйтесь инструкцией по настройке ключей с помощью функции U2F.

Совместимые ключи

В зависимости от того, как вам нужно настроить систему (через протокол “вызов-ответ” HMAC-SHA1 или U2F), вам понадобится подобрать совместимые ключи. Для входа без пароля или двухфакторной аутентификации подойдут ключи 5-й серии или FIPS. А вот серии Bio или Security Key можно использовать только для U2F.

Способы установки программного обеспечения Yubico

Установить программное обеспечение Yubico в Linux можно несколькими способами:

• установив аутентификатор Yubico;
• установив YubiKey Manager;
• использовав встроенные репозитории;
• использовав пакеты PPA Yubico;
• выполнив компиляцию исходного кода.

Больше информации в статье: “Способы установки программного обеспечения Yubico на Linux”.

Настройка ключа безопасности YubiKey

Рассмотрим настройки ключа YubiKey в системе Ubuntu с помощью функции HMAC-SHA1 “вызов-ответ”. На основе данного примера вы сможете произвести аналогичные настройки в схожих с Ubuntu системах.

1. Откройте терминал и запустите команду для установки программного обеспечения Ubuntu: sudo apt install libpam-yubico yubikey-manager.
2. Вставьте ключ YubiKey.
3. Запустите команду: ykman otp chalresp -g 2.
4. Подтвердите настройки, нажав клавишу Y, потом Enter.
5. Для привязки ключа к аккаунту запустите команду: ykpamcfg -2. После этого вы получите подтверждение от системы в формате: «Збережений початковий виклик», «/home/<USER>/.yubico/challenge-<SERIAL>». где на месте <USER> будет ваше имя пользователя, а вместо <SERIAL> – серийный номер ключа YubiKey. Если файл не запускается, перейдите к пункту “Устранение неисправностей”.

Для того чтобы не потерять доступ к вашему персональному прибору в случае если вы потеряете ключ, мы рекомендуем добавить запасной аппаратное устройство. Для этого вам нужно будет повторить те же операции, что и при добавлении первого ключа. Если запасного ключа нет, вы можете вернуться к этому шагу позже.

Для настройки дополнительного уровня безопасностивам нужно переместить файл challenge-<SERIAL> в каталог ОС, где вам нужно будет получать разрешение sudo для редактирования файла (например, /etc). Для этого выполните следующие действия:

• Создайте каталог с названием yubico (sudo mkdir /etc/yubico).
• Переместите файл “вызова-ответа” в /etc/yubico, при этом вместо challenge-<SERIAL> следует написать username-<SERIAL>. Чтобы переместить файл из ~/.yubico до /etc/yubico и переименовать пользователя для входа, выполните команду: sudo mv ~/.yubico/challenge-<SERIAL> /etc/yubico/`whoami`-<SERIAL>.

После того, как файл challenge-<SERIAL> будет перемещен в безопасное место, файл PAM также нужно будет изменить, чтобы он работал корректно. Для этого вам понадобится добавить в конфигурацию PAM-файла “chalresp_path=/etc/yubico” в конце.

Обратите внимание, что после выполнения этих действий у вас не будет возможности изменять файл, если вы потеряете ключ. Это может привести к блокировке доступа. Не рекомендуем делать этот шаг, не добавив запасной ключ безопасности.

Настройка системы для использования ключей безопасности

В этом разделе рассмотрим, как настроить ключи с помощью команд sudo и при этом не заблокировать вход. Также рассмотрим, как отладить систему в случае ошибок.

Журнал отладки

Если у вас возникли проблемы с входом, вы можете включить систему отладки, чтобы обнаружить причину. Для этого запустите терминал и укажите: sudo touch /var/log/pam_yubico.log. Далее найдите строчку pam_yubico.so и добавьте в конце: “debug debug_file=/var/log/pam_yubico.log”.

После этого все события будут храниться в журнале отладки, и вы сможете найти ошибку и устранить ее. Если журнал настройки вам не нужен, вы можете отключить его, удалив строку “debug debug_file=/var/log/pam_yubico.log” из файлов pam.

Команда sudo

Далее посмотрим, как наладить систему добиваться ключа при использовании команды sudo (эта команда помогает получать привилегии суперпользователя) и при этом не заблокировать себя.

1. Откройте терминал и включите журнал настройки.
2. Создайте конфигурационный файл PAM, в котором должно быть указано:

#this will require password + YubiKey for Login

sudo nano /etc/pam.d/yubico-required

auth required pam_yubico.so mode=challenge-response debug debug_file=/var/log/pam_yubico.log

#This will only require YubiKey for Login

sudo nano /etc/pam.d/yubico-sufficient

auth sufficient pam_yubico.so mode=challenge-response debug debug_file=/var/log/pam_yubico.log

1. Нажмите Ctrl+X, потом Enter, чтобы сохранить файл, но окно терминала пока не закрывайте, иначе не сможете больше ничего изменить. Вы должны получить ответ:

sudo nano /etc/pam.d/sudo

#for password + YubiKey

Add the line below the “@include common-auth” line.

@include yubico-required

#for YubiKey only

Add the line above the “@include common-auth” line.

@include yubico-sufficient

1. Удалите ключ YubiKey с компьютера.
2. Запустите новый терминал и введите команду: sudo echo test.
3. После этого приложение запросит у вас пароль. Введите его и нажмите Enter.
1. Поскольку ключ не вставлен, проверка подлинности должна закончиться неудачей. Если же она прошла успешно или ищите ошибки в изменениях файла /etc/pam .d/sudo, или убедитесь, что у вас правильно установлен модуль Yubico PAM.
4. Вставьте ключ безопасности и откройте новый терминал.
5. Снова введите sudo echo test, затем, когда приложение отправит соответствующий запрос, введите пароль и нажмите Enter.
1. Если авторизация с включенным ключом пройдет успешно, это означает, что вы правильно настроили ключ и систему. Остается выполнить шаги по настройке системы для запроса использования ключа при входе.

Настройка системы по требованию ключа при входе в систему

1. Откройте терминал и введите команду: sudo nano /etc/pam.d/gdm-password. После этого вы должны получить ответ:

#for Password + YubiKey

Add the line below the “@include common-auth” line.

@include yubico-required

#for YubiKey only

Add the line above the “@include common-auth” line.

@include yubico-sufficient

1. После этого нажмите Ctrl+X, потом Enter, чтобы сохранить настройки.

Настройка системы по требованию при использовании терминала

Таким же образом вы можете настроить терминал только введя немного другую команду: sudo nano /etc/pam.d/login.

Устранение возможных неисправностей

Иногда, еще при запуске файла ykpamcfg -2, вы можете увидеть ошибку, будто файл уже существует. Такое может произойти, если к системе уже был привязан один из ключей YubiKey раньше. Для очистки связей со старым аппаратным устройством и добавления нового ключа запустите команду в терминале: rm ~/.yubico/challenge-<SERIAL>. Только вместо <SERIAL> укажите серийный номер нового ключа.

На этом инструкция завершена. Если вы еще не выбрали ключ, или ищете запасное аппаратное устройство, приглашаем просмотреть предложения в нашем интернет-магазине. Если есть вопросы о совместимости ключей, свяжитесь с нашими менеджерами.

Похожие материалы в Базе Знаний