Linux (Ubuntu) USB-аутентификация

1659
themicahmachine

Я хочу иметь возможность аутентификации с помощью PAM с помощью USB-накопителя с файлом на нем. Я читал о том, как сделать это с модулем PAM, который считывает определенный идентификатор оборудования USB устройства, но если устройство работает со сбоями или утеряно, аутентификация будет невозможна. Я предпочел бы использовать метод, который использует BitLocker, требующий, чтобы определенный файл был найден на диске для аутентификации. Таким образом, я могу сохранить другой диск в безопасном месте в качестве резервной копии.

Любые другие предложения приветствуются. Я просто хочу требовать более высокий уровень безопасности, чем просто пароль.

Изменить: существующий способ pam (что мне не нравится): http://ubuntuforums.org/showthread.php?t=17571

3
Каким образом «Сделать ключи на карте памяти USB» означает, что он использует аппаратный идентификатор диска? Ignacio Vazquez-Abrams 13 лет назад 0
http://www.xtarutaru.com/2010/03/05/ubuntu-pam-usb-authentication/ themicahmachine 13 лет назад 0
@Ignacio: файл `doc / FAQ` в` pam_usb` source _does_: "Устройство USB идентифицируется как атрибутами производителя (поставщик, продукт, серийный номер), так и несколькими случайными байтами, называемыми одноразовыми панелями, которые записывает pam_usb и обновления на устройстве USB после аутентификации. " grawity 13 лет назад 0

2 ответа на вопрос

1
grawity

Модули PAM являются наращиваемыми. Настроить аутентификацию очень просто, чтобы в случае сбоя одного модуля он снова запросил пароль. Так что я не вижу причин, по которым вы не должны использовать это pam_usb(как это предлагается в ветке форумов Ubuntu).

auth sufficient pam_usb.so @include common-auth

(Обратите внимание, sufficientв отличие от required)

Это правда, но я пытаюсь потребовать USB. Например, если кто-то должен был установить кейлоггер и получить пароль, он все равно не сможет получить доступ без физического устройства. themicahmachine 13 лет назад 0
@themicahmachine: 1) Если кому-то удастся установить кейлоггер, который влияет на _login screen_, у него уже должен быть доступ с правами root, в этом случае у вас есть own3d, USB или нет USB. 2) Такая проверка устройства - просто _check_, которую легко обойти: на той же странице форума упоминается однопользовательский режим, который пропускает PAM и проверяет только «тень». Чтобы такие проверки работали, вам потребуется строгая физическая безопасность - закрытый регистр, ограниченный загрузчик. grawity 13 лет назад 0
@themicahmachine: Один из обходных путей, который я могу придумать, - это иметь одно устройство для себя, а другое для `root`. Если вы потеряете устройство A, войдите в систему как root и настройте новое. Если вы потеряли устройство B, войдите под своим именем, su (do) в root, настройте новое устройство. // В качестве альтернативы вам может потребоваться либо USB, либо одноразовый пароль (список которого вы спрятали в папке «ключ резервного копирования»; также есть модули PAM для паролей, созданных токенами). grawity 13 лет назад 0
Хорошие моменты ... Я отмечаю ваш ответ как правильный только для всей хорошей информации. Кажется, что я могу выполнить то, что я хочу, используя TrueCrypt и запустив полное шифрование диска и поместив загрузчик на флешку. Нет USB = нет расшифровки диска. А что касается регистраторов ключей ... Если кто-то имеет физический доступ к машине, он может установить аппаратный регистратор ключей. USB-устройство, которое находится между клавиатурой и компьютером ... не обнаруживается, если только вы не смотрите за машиной. themicahmachine 13 лет назад 0
@themicahmachine: В случае аппаратного кейлоггера, даже ваш полный пароль шифрования диска будет зарегистрирован. (Но FDE по-прежнему лучше, чем простая проверка USB, поскольку в последнем случае злоумышленник может загружаться со своего носителя, минуя все другие виды защиты.) grawity 13 лет назад 1
@grawity: да, аппаратный регистратор ключей получит пароль шифрования, но не файл ключа, который находится на флешке. themicahmachine 13 лет назад 0
0
jesse

Here is a faq that i typed up a while back. maybe it can be of use.

http://forums.debian.net/viewtopic.php?t=110813

Привет, Джесс, хотя эта ссылка может ответить на вопрос, лучше включить сюда основные части ответа и предоставить ссылку для справки. Ответы, содержащие только ссылки, могут стать недействительными в случае изменения связанной страницы. Пожалуйста, посмотрите здесь: [Почему и как удаляются некоторые ответы?] (Http://superuser.com/help/deleted-answers) bummi 9 лет назад 1

Похожие вопросы