Viele kennen YubiKey und ähnliche Geschichten, um sich Passwort-Eingaben zu ersparen – mit Pam_USB gelingt es auch ganz einfach. Unter Linux gelingt dies ganz einfach nach wenigen Schritten und funktioniert mit USB-Sticks, externen Festplatten und SD-Karten. Es funktioniert jedoch nur mit der Anmeldung, administrative Rechte erhalten Sie nur als sudo-Benutzer – es funktioniert also nicht mit su.
Inhaltsverzeichnis
Pam-USB installieren
Auf GitHub finden Sie für Linux, ein DEB-Paket für auf Debian basierende Linux-Distributionen und ebenso ein RPM-Paket. Dieses installieren Sie wie gewohnt per Mausklick oder als root auf dem Terminal – jedoch .
Aktualisieren müssen (sollten) Sie das Paket nach der Installation manuell, also wieder neue Version herunterladen und installieren.
Pam_USB einrichten
Gleich einmal im Voraus, die Passwort-Eingabe per Tastatur funktioniert auch nach der Einrichtung noch immer.
Nach der Installation des Paketes schließen Sie den USB-Stick an, dieser muss mit einem für Linux lesbaren Dateisystem belegt sein – dies ist aber bei beinahe allen der Fall. Es sollte nur ein USB-Stick angeschlossen sein – dies erleichtert vor allem Linux-Einsteigern die Auswahl. Jetzt gilt es, diesen zu authentifizieren – mit administrativen Rechten am Terminal:
pamusb-conf --add-device usb-stick-bezeichnungusb-stick-bezeichnung ersetzen Sie dabei durch einen beliebigen Namen (nur Buchstaben von A-Z). Beispielsweise etwa:
pamusb-conf --add-device passwortstickJetzt erhalten Sie die Ausgabe:
Please select the device you wish to add.
* Using "Samsung USB Flash Drive (1234567861823456)" (only option)
Which volume would you like to use for storing data ?
* Using "/dev/sdb1 (UUID: E6UD-3F91)" (only option)
Name : MEIN_STICK
Vendor : Samsung
Model : USB Flash Drive
Serial : 1234567861823456
UUID : E6UD-3F91
Save to /etc/security/pam_usb.conf ?
[Y/n]Die darauf folgende Nachfrage bestätigen Sie mit Eingabe „/dev/sdb1“ kann hier natürlich nach Ihrer Hardware variieren. Die Konfiguration wird unter „/etc/security/pam_usb.conf“ gespeichert – diese Datei könnten Sie zur erweiterten Konfiguration später brauchen.
Für jeden Benutzer, der einen USB-Stick benutzen möchte, fügen Sie so einen weiteren USB-Stick hinzu – wichtig – erst den gewünschten Stick, dann erst den Benutzer. Anschließend fügen Sie die gewünschten Benutzer hinzu (wieder mit root-Rechten):
pamusb-conf --add-user benutzerbenutzer ersetzen Sie hier durch den Benutzernamen – in meinem Fall etwa ganz einfach „robert„:
pamusb-conf --add-user robertIn der darauf folgenden Ausgabe gilt es den richtigen (bereits hinzugefügten) Stick auszuwählen und mit Eingabe zu bestätigen:
Which device would you like to use for authentication ?
* Using "passwortstick" (only option)
User : robert
Device : passwortstick
Save to /etc/security/pam_usb.conf ?
[Y/n]Anschließend können Sie die Konfiguration testen – der Stick muss dabei natürlich angeschlossen sein:
pamusb-check robertAuthentication request for user "robert" (pamusb-check)
Device "passwortstick" is connected (good).
Performing one time pad verification...
Verification match, updating one time pads...
Access granted.Ein Access granted zeigt Ihnen – es hat funktioniert. Wie schon beschrieben – ist der Stick angeschlossen, funktioniert Anmeldung und die erhöhten Rechte ohne Passwort-Eingabe, ist er nicht angeschlossen – müssen Sie weiter das Passwort eingeben.
Jetzt können Sie die Software weiter konfigurieren – in der oben schon beschriebenen Datei finden Sie unter anderem die Zeile:
auth sufficient pam_usb.soDie Datei bearbeiten Sie in einem Texteditor mit administrativen Rechten. Jetzt möchte ich den Stick etwa zur Zweifaktor-Authentifizierung nutzen – also muss der Stick angeschlossen sein und ich muss das Passwort eingeben, in diesem Fall ersetzen Sie sufficient durch required:
auth required pam_usb.so
8
Noch keine Reaktion