{"id":17361,"date":"2024-12-08T14:51:39","date_gmt":"2024-12-08T13:51:39","guid":{"rendered":"https:\/\/linux-bibel.at\/?p=17361"},"modified":"2024-12-08T14:51:41","modified_gmt":"2024-12-08T13:51:41","slug":"anmelden-und-sudo-rechte-per-usb-stick-am-linux-desktop","status":"publish","type":"post","link":"https:\/\/linux-bibel.at\/index.php\/2024\/12\/08\/anmelden-und-sudo-rechte-per-usb-stick-am-linux-desktop\/","title":{"rendered":"Anmelden und sudo-Rechte per USB-Stick am Linux-Desktop"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Viele kennen YubiKey und \u00e4hnliche Geschichten, um sich Passwort-Eingaben zu ersparen &#8211; mit Pam_USB gelingt es auch ganz einfach. Unter Linux gelingt dies ganz einfach nach wenigen Schritten und funktioniert mit USB-Sticks, externen Festplatten und SD-Karten. Es funktioniert jedoch nur mit der Anmeldung, administrative Rechte erhalten Sie nur als <code>sudo<\/code>-Benutzer &#8211; es funktioniert also nicht mit <code>su<\/code>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Pam-USB installieren<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Auf <a href=\"https:\/\/github.com\/mcdope\/pam_usb\/releases\" target=\"_blank\" rel=\"noreferrer noopener\">GitHub<\/a> finden Sie f\u00fcr Linux, ein DEB-Paket f\u00fcr auf Debian basierende Linux-Distributionen und ebenso ein RPM-Paket. Dieses installieren Sie wie gewohnt per Mausklick oder als root auf dem Terminal &#8211; jedoch .<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Aktualisieren m\u00fcssen (<em>sollten<\/em>) Sie das Paket nach der Installation manuell, also wieder neue Version herunterladen und installieren.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Pam_USB einrichten<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Gleich einmal im Voraus, die Passwort-Eingabe per Tastatur funktioniert auch nach der Einrichtung noch immer.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Nach der Installation des Paketes schlie\u00dfen Sie den USB-Stick an, dieser muss mit einem f\u00fcr Linux lesbaren Dateisystem belegt sein &#8211; dies ist aber bei beinahe allen der Fall. Es sollte nur ein USB-Stick angeschlossen sein &#8211; dies erleichtert vor allem Linux-Einsteigern die Auswahl. Jetzt gilt es, diesen zu authentifizieren &#8211; mit administrativen Rechten am Terminal:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>pamusb-conf --add-device usb-stick-bezeichnung<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\"><code>usb-stick-bezeichnung<\/code> ersetzen Sie dabei durch einen beliebigen Namen (<em>nur Buchstaben von A-Z<\/em>). Beispielsweise etwa:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>pamusb-conf --add-device passwortstick<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Jetzt erhalten Sie die Ausgabe:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>Please select the device you wish to add.\n* Using \"Samsung USB Flash Drive (1234567861823456)\" (only option)\nWhich volume would you like to use for storing data ?\n* Using \"\/dev\/sdb1 (UUID: E6UD-3F91)\" (only option)\nName            : MEIN_STICK\nVendor          : Samsung\nModel           : USB Flash Drive\nSerial          : 1234567861823456\nUUID            : E6UD-3F91\nSave to \/etc\/security\/pam_usb.conf ?\n&#91;Y\/n]<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Die darauf folgende Nachfrage best\u00e4tigen Sie mit <kbd>Eingabe<\/kbd> &#8222;\/dev\/sdb1&#8220; kann hier nat\u00fcrlich nach Ihrer Hardware variieren. Die Konfiguration wird unter &#8222;<em>\/etc\/security\/<strong>pam_usb.conf<\/strong><\/em>&#8220; gespeichert &#8211; diese Datei k\u00f6nnten Sie zur erweiterten Konfiguration sp\u00e4ter brauchen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr jeden Benutzer, der einen USB-Stick benutzen m\u00f6chte, f\u00fcgen Sie so einen weiteren USB-Stick hinzu &#8211; wichtig &#8211; erst den gew\u00fcnschten Stick, dann erst den Benutzer. Anschlie\u00dfend f\u00fcgen Sie die gew\u00fcnschten Benutzer hinzu (<em>wieder mit root-Rechten<\/em>):<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>pamusb-conf --add-user benutzer<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\"><code>benutzer<\/code> ersetzen Sie hier durch den Benutzernamen &#8211; in meinem Fall etwa ganz einfach &#8222;<strong>robert<\/strong>&#8222;:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>pamusb-conf --add-user robert<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">In der darauf folgenden Ausgabe gilt es den richtigen (<em>bereits hinzugef\u00fcgten<\/em>) Stick auszuw\u00e4hlen und mit <kbd>Eingabe<\/kbd> zu best\u00e4tigen:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>Which device would you like to use for authentication ?\n* Using \"passwortstick\" (only option)\nUser            : robert\nDevice          : passwortstick\nSave to \/etc\/security\/pam_usb.conf ?\n&#91;Y\/n]<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Anschlie\u00dfend k\u00f6nnen Sie die Konfiguration testen &#8211; der Stick muss dabei nat\u00fcrlich angeschlossen sein:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>pamusb-check robert<\/code><\/pre>\n\n\n\n<pre class=\"wp-block-code\"><code>Authentication request for user \"robert\" (pamusb-check)\nDevice \"passwortstick\" is connected (good).\nPerforming one time pad verification...\nVerification match, updating one time pads...\nAccess granted.<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Ein <code>Access granted<\/code> zeigt Ihnen &#8211; es hat funktioniert. Wie schon beschrieben &#8211; ist der Stick angeschlossen, funktioniert Anmeldung und die erh\u00f6hten Rechte ohne Passwort-Eingabe, ist er nicht angeschlossen &#8211; m\u00fcssen Sie weiter das Passwort eingeben.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Jetzt k\u00f6nnen Sie die Software weiter konfigurieren &#8211; in der oben schon beschriebenen Datei finden Sie unter anderem die Zeile:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>auth sufficient pam_usb.so<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Die Datei bearbeiten Sie in einem Texteditor mit administrativen Rechten. Jetzt m\u00f6chte ich den Stick etwa zur Zweifaktor-Authentifizierung nutzen &#8211; also muss der Stick angeschlossen sein und ich muss das Passwort eingeben, in diesem Fall ersetzen Sie <code>sufficient<\/code> durch <code>required<\/code>:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>auth required pam_usb.so<\/code><\/pre>\n<div class=\"pld-like-dislike-wrap pld-custom\">\r\n    <div class=\"pld-like-wrap  pld-common-wrap\">\r\n    <a href=\"javascript:void(0)\" class=\"pld-like-trigger pld-like-dislike-trigger  \" title=\"Gef\u00e4llt mir\" data-post-id=\"17361\" data-trigger-type=\"like\" data-restriction=\"cookie\" data-already-liked=\"0\">\r\n                            <img src=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/12\/Daumen-Hoch.png\" alt=\"Gef\u00e4llt mir\" \/>\r\n            <\/a>\r\n    <span class=\"pld-like-count-wrap pld-count-wrap\">11    <\/span>\r\n<\/div><div class=\"pld-dislike-wrap  pld-common-wrap\">\r\n    <a href=\"javascript:void(0)\" class=\"pld-dislike-trigger pld-like-dislike-trigger  \" title=\"Gef\u00e4llt mir nicht\" data-post-id=\"17361\" data-trigger-type=\"dislike\" data-restriction=\"cookie\" data-already-liked=\"0\">\r\n                            <img src=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/12\/Daumen-Runter.png\" alt=\"Gef\u00e4llt mir nicht\" \/>\r\n            <\/a>\r\n    <span class=\"pld-dislike-count-wrap pld-count-wrap\"><\/span>\r\n<\/div><\/div>","protected":false},"excerpt":{"rendered":"<p>Viele kennen YubiKey und \u00e4hnliche Geschichten, um sich Passwort-Eingaben zu ersparen &#8211; mit Pam_USB gelingt es auch ganz einfach. Unter Linux gelingt dies ganz einfach nach wenigen Schritten und funktioniert mit USB-Sticks, externen Festplatten und SD-Karten. Es funktioniert jedoch nur mit der Anmeldung, administrative Rechte erhalten Sie nur als sudo-Benutzer &#8211; es funktioniert also nicht [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":17365,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[101],"tags":[289],"class_list":["post-17361","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tipps","tag-tipps"],"_links":{"self":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/17361","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/comments?post=17361"}],"version-history":[{"count":1,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/17361\/revisions"}],"predecessor-version":[{"id":17366,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/17361\/revisions\/17366"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media\/17365"}],"wp:attachment":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media?parent=17361"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/categories?post=17361"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/tags?post=17361"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}