Ik gebruik Debian 9 (codenaam Stretch) voor dit Artikel, dus indien je een andere distro gebruikt moet je bepaalde dingen anders doen.
Eerst moeten de de nodig software installeren, Yubico de fabrikant van de YubiKey heeft
de libpam-u2f PAM plugin gemaakt en deze is beschikbaar in de Debian archieven : $
sudo apt install pamu2fcfg libpam-u2f
Nu moeten we voor iedere gebruiker de Directory Yubico aanmaken onder ~/.config hier
plaatsen we het configuratiebestand. $ mkdir ~/.config/Yubico
teek een YubiKey met U2F ondersteuning in een USB poort en voer het volgende commando
uit: $ pamu2fcfg -u$USER > ~/.config/Yubico/u2f_keys
Als je meerdere YubiKeys wil gebruiken voer je het volgende commando uit : $ pamu2fcfg
-n > tweede
De inhoud van het bestand tweede kun je nu plakken in het bestand
~/.config/Yubico/u2f_keys aan het einde van dezelfde regel dus als er in
het bestand staat :
dan maak je:
Dit doe je voor iedere U2F compatibele YubiKey die je wil gebruiken (YubiKey 4 of FIDO
U2F)
Vervolgens bewerken we het bestand /etc/pam.d/common-auth en voegen er aan toe:
auth required pam_u2f.so cue
Waarschuwing
Kijk goed of het pamu2fcfg goed werkt (een sleutel weergeeft en
geen foutmelding). Indien dit niet zo is, zul je bij het inloggen na reboot
of gewoon uitloggen en weer inloggen een foutmelding krijgen en krijg je nog
enkel toegang tot het systeem vanuit de Recovery modus.
Herstart de computer (of log uit en opnieuw in) en nu zul je zowel je wachtwoord moeten
ingeven als een YubiKey plaatsen en op de knop drukken voor:
Login
Gebruik van sudo
Ontgrendelen van de computer
Waarschuwing
Je zal het root account nu ook niet meer kunnen gebruiken
!
Om dit toch mogelijk te maken moet je ook een u2f_keys bestand
aanmaken onder /root/.config/Yubico De simpelste oplossing is het
bestand u2f_keys (met sudo) naar deze computer te kopiëren en de
gebruikersnaam aan het begin veranderen van jouw gebruikersnaam naar root.
Nu kun je het root account ook weer gebruiken i.s.m. een wachtwoord
en jouw YubiKeys, wil je een extra beveiliging met een andere YubiKey dan
deze die je voor jouw "normale" gebruiker gebruikt kan dit natuurlijk ook.
Een ander voordeel hiervan is dat je (op Debian) bij het opstarten van Synaptic (en
andere beheerderstoepassingen) vanuit de GUI (Gnome bijvoorbeeld) het Administrator/root
wachtwoord moet ingeven en niet jouw wachtwoord. Als je dit dus niet instelt voor de
root gebruiker dan zal Synaptic niet opstarten vanuit de GUI, maar zal je dit manueel
vanuit een terminal met sudo synaptic moeten doen.