{"id":17361,"date":"2024-12-08T14:51:39","date_gmt":"2024-12-08T13:51:39","guid":{"rendered":"https:\/\/linux-bibel.at\/?p=17361"},"modified":"2024-12-08T14:51:41","modified_gmt":"2024-12-08T13:51:41","slug":"anmelden-und-sudo-rechte-per-usb-stick-am-linux-desktop","status":"publish","type":"post","link":"https:\/\/linux-bibel.at\/index.php\/2024\/12\/08\/anmelden-und-sudo-rechte-per-usb-stick-am-linux-desktop\/","title":{"rendered":"Anmelden und sudo-Rechte per USB-Stick am Linux-Desktop"},"content":{"rendered":"\n

Viele kennen YubiKey und ähnliche Geschichten, um sich Passwort-Eingaben zu ersparen – mit Pam<\/a>_USB<\/a> gelingt es auch ganz einfach. Unter Linux<\/a> gelingt dies ganz einfach nach wenigen Schritten und funktioniert mit USB<\/a>-Sticks, externen Festplatten und SD-Karten. Es funktioniert jedoch nur mit der Anmeldung, administrative Rechte erhalten Sie nur als sudo<\/code>-Benutzer – es funktioniert also nicht mit su<\/code>.<\/p>\n\n\n\n

Pam-USB installieren<\/h3>\n\n\n\n

Auf GitHub<\/a> finden Sie für Linux<\/a>, ein DEB<\/a>-Paket<\/a> für auf Debian<\/a> basierende Linux<\/a>-Distribution<\/a>en und ebenso ein RPM<\/a>-Paket<\/a>. Dieses installieren Sie wie gewohnt per Mausklick oder als root<\/a> auf dem Terminal<\/a> – jedoch .<\/p>\n\n\n\n

Aktualisieren müssen (sollten<\/em>) Sie das Paket<\/a> nach der Installation manuell, also wieder neue Version herunterladen und installieren.<\/p>\n\n\n\n

Pam_USB einrichten<\/h3>\n\n\n\n

Gleich einmal im Voraus, die Passwort-Eingabe per Tastatur funktioniert auch nach der Einrichtung noch immer.<\/p>\n\n\n\n

Nach der Installation des Paket<\/a>es schließen Sie den USB<\/a>-Stick an, dieser muss mit einem für Linux<\/a> lesbaren Dateisystem<\/a> belegt sein – dies ist aber bei beinahe allen der Fall. Es sollte nur ein USB<\/a>-Stick angeschlossen sein – dies erleichtert vor allem Linux<\/a>-Einsteigern die Auswahl. Jetzt gilt es, diesen zu authentifizieren – mit administrativen Rechten am Terminal<\/a>:<\/p>\n\n\n\n

pamusb-conf --add-device usb-stick-bezeichnung<\/code><\/pre>\n\n\n\n
usb-stick-bezeichnung<\/code> ersetzen Sie dabei durch einen beliebigen Namen (nur Buchstaben von A-Z<\/em>). Beispielsweise etwa:<\/p>\n\n\n\n
pamusb-conf --add-device passwortstick<\/code><\/pre>\n\n\n\n
Jetzt erhalten Sie die Ausgabe:<\/p>\n\n\n\n
Please select the device you wish to add.\n* Using \"Samsung USB Flash Drive (1234567861823456)\" (only option)\nWhich volume would you like to use for storing data ?\n* Using \"\/dev\/sdb1 (UUID: E6UD-3F91)\" (only option)\nName            : MEIN_STICK\nVendor          : Samsung\nModel           : USB Flash Drive\nSerial          : 1234567861823456\nUUID            : E6UD-3F91\nSave to \/etc\/security\/pam_usb.conf ?\n[Y\/n]<\/code><\/pre>\n\n\n\n
Die darauf folgende Nachfrage bestätigen Sie mit Eingabe<\/kbd> „\/dev\/sdb1“ kann hier natürlich nach Ihrer Hardware variieren. Die Konfiguration<\/a> wird unter „\/etc\/security\/pam<\/a>_usb<\/a>.conf<\/strong><\/em>“ gespeichert – diese Datei<\/a> könnten Sie zur erweiterten Konfiguration<\/a> später brauchen.<\/p>\n\n\n\n
Für jeden Benutzer, der einen USB<\/a>-Stick benutzen möchte, fügen Sie so einen weiteren USB<\/a>-Stick hinzu – wichtig – erst den gewünschten Stick, dann erst den Benutzer. Anschließend fügen Sie die gewünschten Benutzer hinzu (wieder mit root<\/a>-Rechten<\/em>):<\/p>\n\n\n\n
pamusb-conf --add-user benutzer<\/code><\/pre>\n\n\n\n
benutzer<\/code> ersetzen Sie hier durch den Benutzernamen – in meinem Fall etwa ganz einfach „robert<\/strong>„:<\/p>\n\n\n\n
pamusb-conf --add-user robert<\/code><\/pre>\n\n\n\n
In der darauf folgenden Ausgabe gilt es den richtigen (bereits hinzugefügten<\/em>) Stick auszuwählen und mit Eingabe<\/kbd> zu bestätigen:<\/p>\n\n\n\n
Which device would you like to use for authentication ?\n* Using \"passwortstick\" (only option)\nUser            : robert\nDevice          : passwortstick\nSave to \/etc\/security\/pam_usb.conf ?\n[Y\/n]<\/code><\/pre>\n\n\n\n
Anschließend können Sie die Konfiguration<\/a> testen – der Stick muss dabei natürlich angeschlossen sein:<\/p>\n\n\n\n
pamusb-check robert<\/code><\/pre>\n\n\n\n
Authentication request for user \"robert\" (pamusb-check)\nDevice \"passwortstick\" is connected (good).\nPerforming one time pad verification...\nVerification match, updating one time pads...\nAccess granted.<\/code><\/pre>\n\n\n\n
Ein Access granted<\/code> zeigt Ihnen – es hat funktioniert. Wie schon beschrieben – ist der Stick angeschlossen, funktioniert Anmeldung und die erhöhten Rechte ohne Passwort-Eingabe, ist er nicht angeschlossen – müssen Sie weiter das Passwort eingeben.<\/p>\n\n\n\n
Jetzt können Sie die Software weiter konfigurieren – in der oben schon beschriebenen Datei<\/a> finden Sie unter anderem die Zeile:<\/p>\n\n\n\n
auth sufficient pam_usb.so<\/code><\/pre>\n\n\n\n
Die Datei<\/a> bearbeiten Sie in einem Texteditor<\/a> mit administrativen Rechten. Jetzt möchte ich den Stick etwa zur Zweifaktor<\/a>-Authentifizierung nutzen – also muss der Stick angeschlossen sein und ich muss das Passwort eingeben, in diesem Fall ersetzen Sie sufficient<\/code> durch required<\/code>:<\/p>\n\n\n\n
auth required pam_usb.so<\/code><\/pre>\n
\r\n    
\r\n    \r\n                            \"Gef\u00e4llt\r\n            <\/a>\r\n    11    <\/span>\r\n<\/div>
\r\n    \r\n                            \"Gef\u00e4llt\r\n            <\/a>\r\n    <\/span>\r\n<\/div><\/div>","protected":false},"excerpt":{"rendered":"
Viele kennen YubiKey und \u00e4hnliche Geschichten, um sich Passwort-Eingaben zu ersparen – mit Pam_USB gelingt es auch ganz einfach. Unter Linux gelingt dies ganz einfach nach wenigen Schritten und funktioniert mit USB-Sticks, externen Festplatten und SD-Karten. Es funktioniert jedoch nur mit der Anmeldung, administrative Rechte erhalten Sie nur als sudo-Benutzer – es funktioniert also nicht […]<\/p>\n","protected":false},"author":1,"featured_media":17365,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[101],"tags":[289],"class_list":["post-17361","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tipps","tag-tipps"],"_links":{"self":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/17361","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/comments?post=17361"}],"version-history":[{"count":1,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/17361\/revisions"}],"predecessor-version":[{"id":17366,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/17361\/revisions\/17366"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media\/17365"}],"wp:attachment":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media?parent=17361"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/categories?post=17361"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/tags?post=17361"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}