2-faktor-authentifizierung_fuer_screensaver_und_sudo

2-Faktor-Authentifizierung für Screensaver und Sudo

Der Fido-Key kann das Wiedereinloggen bei gesperrtem Bildschirmschoner und die Benutzung von sudo vereinfachen.

Voraussetzung: Installation von libpam-u2f

sudo apt install libpam-u2f

In /etc/pam.d wird die Datei u2f-auth mit folgendem Inhalt neu angelegt:

Ersatz fuer common-auth

U2F-Token / Passwort

erst: U2F-Token

auth [success=2 default=ignore] pam_u2f.so

Fallback — funktioniert immer: Passwort

auth [success=1 default=ignore] pam_unix.so try_first_pass

FAIL

auth requisite pam_deny.so

SUCCESSS

auth required pam_permit.so

und die Datei sudo (nach Kopie des Originals) so verändert: #%PAM-1.0 session required pam_env.so readenv=1 user_readenv=0 session required pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0 #@include common-auth @include u2f-auth @include common-account @include common-session-noninteractive

In der Datei xscreensaver wird ebenfalls common-auth auskommentiert und durch u2f-auth ersetzt

/etc/pam.d/xscreensaver - PAM behavior for xscreensaver

#@include common-auth @include u2f-auth @include common-account

Die Grundlagen dafür finden sich in folgenden c’t-Artikeln:

• : :computer:ubuntu:pin_gesichtserkennung_zweiter_faktor_komfortable_linux-authentifizierung_c_t_magazin.pdf |
• : :computer:ubuntu:linux_mit_dem_gesicht_entsperren_c_t_magazin.pdf |
• : :computer:ubuntu:linux_komfortabel_und_sicher_entsperren_c_t_magazin.pdf |