Як налаштувати YubiKey в Linux за допомогою функції “виклик-відповідь”

Апаратні ключі безпеки YubiKey роблять вашу систему більш захищеною. А саму процедуру входу в облікові записи — швидшою та зручнішою. Дотримуйтесь наступних інструкцій, щоб легко додати необхідні налаштування в системі Linux.

Налаштування YubiKey в Linux значно відрізняється від налаштувань в інших ОС, наприклад у Windows. По-перше, вам потрібно буде проводити операції через термінал, а не через користувацький інтерфейс. По-друге, вам знадобиться зробити не одне, а ряд налаштувань для того, щоб хакери не змогли обійти певні обмеження, при цьому, щоб ви самі собі не заблокували доступ до системи. Маються на увазі такі дії:

• встановлення програмного забезпечення Yubico;
• налаштування та прив’язка ключа безпеки YubiKey;
• налаштування системи для використання ключів;
• усунення можливих несправностей.

Якщо ви добре знаєте англійську, можете переглянути це відео, воно стосується налаштування з використанням протоколу HMAC-SHA1. Якщо вам зручніше текстовий формат, ознайомтеся з текстовою версією інструкції нижче. 

Якщо плануєте використовувати ключі серій Security Key або Yubikey Bio, скористайтеся інструкцією з налаштування ключів за допомогою функції U2F.

Сумісні ключі

Залежно від того, як саме вам потрібно налаштувати систему (через протокол “виклик-відповідь” HMAC-SHA1 чи U2F), вам знадобиться підібрати сумісні ключі. Для входу без пароля або двофакторної автентифікації підійдуть ключі 5-ї серії або FIPS. А от серії Bio або Security Key можна використовувати тільки для U2F. 

Способи встановлення програмного забезпечення Yubico

Інсталювати програмне забезпечення Yubico в Linux можна кількома способами:

• встановивши Автентифікатор Yubico;
• встановивши YubiKey Manager;
• використавши вбудовані репозиторії;
• використавши пакети PPA Yubico;
• виконавши компіляцію з вихідного коду.

Більше інформації в статті: “Способи встановлення програмного забезпечення Yubico на Linux”.

Налаштування ключа безпеки YubiKey

Розглянемо налаштування ключа YubiKey у системі Ubuntu за допомогою функції HMAC-SHA1 “виклик-відповідь”. На основі даного прикладу ви зможете зробити аналогічні налаштування в схожих з Ubuntu системах.

1. Відкрийте термінал та запустіть команду для інсталяції програмного забезпечення для  Ubuntu: sudo apt install libpam-yubico yubikey-manager. 
2. Вставте ключ YubiKey. 
3. Запустіть команду: ykman otp chalresp -g 2.
4. Підтвердіть налаштування, натиснувши клавішу Y, потім Enter.
5. Для прив’язки ключа до облікового запису, запустіть команду: ykpamcfg -2. Після цього ви маєте отримати підтвердження від системи у форматі: «Збережений початковий виклик», «/home/<USER>/.yubico/challenge-<SERIAL>». де на місці <USER> буде ваше ім’я користувача, а замість <SERIAL> — серійний номер ключа YubiKey. Якщо файл не запускається, перейдіть до пункту “Усунення несправностей”.

Для того, щоб не втратити доступ до вашого персонально приладу у разі якщо ви загубите ключ, ми рекомендуємо додати запасний апаратний пристрій. Для цього вам потрібно буде повторити ті ж самі операції, що й при додаванні першого ключа. Якщо запасного ключа поки що немає, ви можете повернутися до цього кроку пізніше.

Для налаштування додаткового рівня безпеки вам треба перемістити файл challenge-<SERIAL> в каталог ОС, де вам потрібно буде отримувати дозвіл sudo для редагування файлу (наприклад, /etc). Для цього виконайте такі кроки:

• Створіть каталог з назвою yubico (sudo mkdir /etc/yubico). 
• Перемістіть файл “виклику-відповіді” до /etc/yubico, при цьому замість challenge-<SERIAL> слід написати username-<SERIAL>. Щоб перемістити файл з ~/.yubico до /etc/yubico і перейменувати користувача для входу, виконайте команду: sudo mv ~/.yubico/challenge-<SERIAL> /etc/yubico/`whoami`-<SERIAL>.

Після того, як файл challenge-<SERIAL> буде переміщено у безпечне місце, файл PAM також потрібно буде змінити, щоб він працював коректно. Для цього вам знадобиться додати до конфігурації PAM-файлу “chalresp_path=/etc/yubico” наприкінці.

Зверніть увагу, що після виконання цих дій у вас не буде змоги змінювати файл, якщо ви втратите ключ. Це може призвести до блокування доступу. Тож не рекомендуємо робити цей крок, не додавши запасний ключ безпеки.

Налаштування системи для використання ключів безпеки

У цьому розділі розглянемо, як налаштувати ключі за допомогою команд sudo та при цьому не заблокувати собі вхід. Також розглянемо, як налагодити систему у разі помилок. 

Журнал налагодження

Якщо у вас виникають проблеми з входом, ви можете увімкнути систему налагодження, щоб виявити причину. Для цього запустіть термінал та вкажіть: sudo touch /var/log/pam_yubico.log. Далі знайдіть рядок pam_yubico.so та додайте наприкінці: “debug debug_file=/var/log/pam_yubico.log”. 

Після цього всі події зберігатимуться у журналі налагодження і ви зможете знайти помилку та усунути її.  Якщо журнал налагодження вам не потрібен, ви можете вимкнути його, видаливши рядок  “debug debug_file=/var/log/pam_yubico.log” із файлів pam. 

Команда sudo

Далі подивимося, як налагодити систему вимагати ключ при використанні команди sudo (ця команда допомагає отримувати привілеї суперкористувача) та при цьому не заблокувати себе.

1. Відкрийте термінал та увімкніть журнал налагодження.
2. Створіть конфігураційний файл PAM, в якому має бути зазначено:

#this will require password + YubiKey for Login

sudo nano /etc/pam.d/yubico-required

auth required pam_yubico.so mode=challenge-response debug debug_file=/var/log/pam_yubico.log

#This will only require YubiKey for Login

sudo nano /etc/pam.d/yubico-sufficient

auth sufficient pam_yubico.so mode=challenge-response debug debug_file=/var/log/pam_yubico.log

1. Натисніть Ctrl+X,  потім  Enter, щоб зберегти файл, але вікно термінала поки що не закривайте, інакше не зможете більше нічого змінити. Ви маєте отримати відповідь:

sudo nano /etc/pam.d/sudo 

#for password + YubiKey

Add the line below the “@include common-auth” line. 

@include yubico-required

#for YubiKey only 

Add the line above the “@include common-auth” line. 

@include yubico-sufficient

1. Видаліть ключ YubiKey з комп’ютера. 
2. Запустіть новий термінал та введіть команду: sudo echo test. 
3. Після цього програма запросить у вас пароль. Введіть його та натисніть Enter. 
1. Оскільки ключ не вставлений, автентифікація має закінчитися невдачею. Якщо ж вона пройшла успішно, або шукайте помилки в змінах файлу /etc/pam .d/sudo, або переконайтеся, що у вас правильно встановлений модуль Yubico PAM.
4. Вставте ключ безпеки та відкрийте новий термінал.
5. Знову введіть sudo echo test, потім, коли програма надішле відповідний запит, введіть пароль та натисніть Enter.
1. Якщо авторизація з увімкненим ключем пройде успішно, це означатиме, що ви правильно налаштували ключ та систему. Залишається виконати кроки налаштування системи для запиту використання ключа при вході. 

Налаштування системи на вимогу ключа при вході в систему

1. Відкрийте термінал та введіть команду: sudo nano /etc/pam.d/gdm-password. Маєте отримати відповідь:

#for Password + YubiKey

Add the line below the “@include common-auth” line. 

@include yubico-required

#for YubiKey only 

Add the line above the “@include common-auth” line. 

@include yubico-sufficient

1. Після цього натисніть Ctrl+X, потім  Enter, щоб зберегти налаштування.

Налаштування системи на вимогу при користуванні терміналом

Таким же чином ви можете налаштувати термінал, тільки ввівши трохи іншу команду: sudo nano /etc/pam.d/login.

Усунення можливих несправностей

Інколи, ще під час запуску файлу ykpamcfg -2, ви можете побачити помилку, ніби файл вже існує. Таке може статися, якщо до системи вже був прив’язаний один з ключів YubiKey раніше. Щоб очистити зв’язки зі старим апаратним пристроєм та додати новий ключ, запустить команду в терміналі: rm ~/.yubico/challenge-<SERIAL>. Тільки замість <SERIAL> вкажіть серійний номер нового ключа. 

На цьому наша інструкція завершена. Якщо ви ще не обрали ключ, або шукаєте запасний апаратний пристрій, запрошуємо переглянути пропозиції в нашому інтернет-магазині. Якщо є питання щодо сумісності ключів, зв’яжіться з нашими менеджерами. 

Схожі матеріали в Базі Знань