... | ... | @@ -16,6 +16,7 @@ Installieren Sie unter Ubuntu in einem Terminalfenster (Strg-Alt-T) zuerst ein z |
|
|
`sudo apt install gnome-system-tools`
|
|
|
|
|
|
Suchen Sie über „Aktivitäten“ nach „Benutzer“, klicken Sie auf „Benutzer und Gruppen“ und dann auf „Gruppen verwalten“. Hier erstellen Sie über „Hinzufügen“ die neue Gruppe „nopasswdlogin“. Klicken Sie auf „OK“ und „Schließen“, um alle Änderungen zu speichern. Nachdem Sie die Gruppe erstellt haben, wählen Sie den gewünschten Benutzer und klicken hinter „Passwort“ auf „Ändern“. Setzen Sie ein Häkchen vor „Nicht bei der Anmeldung nach einem Kennwort fragen“.
|
|
|
|
|
|
Damit die Einstellung funktioniert, ist eine weitere Änderung nötig. Über ein Terminalfenster öffnen Sie die Konfigurationsdatei im Editor:
|
|
|
|
|
|
`sudo gedit /etc/pam.d/gdm-password`
|
... | ... | @@ -36,8 +37,8 @@ In der Regel verwendet eine PAM-Konfiguration mehrere Module nacheinander. Wenn |
|
|
|
|
|
Die eigentliche Anmeldung eines Benutzers erfolgt über die Zeilen
|
|
|
|
|
|
`@include common-auth`
|
|
|
`@include common-account`
|
|
|
@include common-auth
|
|
|
@include common-account
|
|
|
|
|
|
Damit werden die gleichnamigen Konfigurationsdateien aus „/etc/pam.d“ eingebunden, die von den meisten Diensten gemeinsam benutzt werden. „common-auth“ erledigt die Prüfung von Benutzernamen und Passwort und „common-account“ verweigert die Anmeldung, etwa wenn ein Konto abgelaufen ist. Für beides ist „pam_unix.so“ zuständig.
|
|
|
|
... | ... | @@ -45,8 +46,11 @@ Damit werden die gleichnamigen Konfigurationsdateien aus „/etc/pam.d“ eingeb |
|
|
Eine Konfigurationszeile besteht aus drei oder vier Elementen. Am Anfang steht das Schlüsselwort für den Modultyp:
|
|
|
|
|
|
**auth:** Prüfung, ob der Benutzer authentisch ist, etwa durch eine Passwortabfrage oder einen Fingerabdruck.
|
|
|
|
|
|
**account:** Prüfung, ob der Benutzer einen Dienst überhaupt nutzen darf.
|
|
|
|
|
|
**password:** Das Modul kann ein Authentifizierungsmerkmal ändern, etwa ein Passwort.
|
|
|
|
|
|
**session:** Verwaltung und Konfiguration der Sitzung nach der Authentifizierung, etwa die Protokollierung von Log-ins oder die Zuweisung des Home-Verzeichnisses.
|
|
|
|
|
|
Danach folgt ein Kontroll-Flag. Es beeinflusst das Gesamtergebnis, wenn ein Modul einen Fehlschlag meldet.
|
... | ... | @@ -61,9 +65,9 @@ Danach folgt ein Kontroll-Flag. Es beeinflusst das Gesamtergebnis, wenn ein Modu |
|
|
|
|
|
Bei den genannten Kontroll-Flags handelt es sich um Kurzformen. In einigen Konfigurationsdateien finden Sie auch eine komplexere Syntax in eckigen Klammern. In der Datei „/etc/pam.d/common-auth“ stehen beispielsweise diese drei Zeilen:
|
|
|
|
|
|
`auth [success=1 default=ignore] pam_unix.so nullok_secure`
|
|
|
`auth requisite pam_deny.so`
|
|
|
`auth required pam_permit.so`
|
|
|
auth [success=1 default=ignore] pam_unix.so nullok_secure
|
|
|
auth requisite pam_deny.so
|
|
|
auth required pam_permit.so
|
|
|
|
|
|
Sollte die Anmeldung in der ersten Zeile erfolgreich sein, bewirkt „success=1“, dass die nächste Zeile übersprungen wird. „pam_permit.so“ erlaubt dann in der letzten Zeile den Zugang. Andernfalls wird über „pam_deny.so“, das immer einen Fehlschlag meldet, die Anmeldung verweigert. Wegen „requisite“ bricht die Authentifizierung dann sofort ab, die letzte Zeile wird nicht mehr berücksichtigt. „default=ignore“ bewirkt, dass die Rückgabe von „pam_unix.so“ keinen Einfluss auf das Gesamtergebnis hat. Das ist auch nicht nötig, weil die nachfolgenden zwei Zeilen zuverlässig Misserfolg oder Erfolg signalisieren.
|
|
|
|
... | ... | @@ -85,8 +89,8 @@ Installieren Sie in einem Terminalfenster zuerst die Tools für die Verwaltung d |
|
|
|
|
|
Erstellen Sie die Textdatei „users_and_passwords.txt“ in Ihrem Home-Verzeichnis. Diese enthält pro Zeile Benutzernamen und Passwort getrennt durch einen Doppelpunkt:
|
|
|
|
|
|
`sepp:1234`
|
|
|
`te:4567`
|
|
|
sepp:1234
|
|
|
te:4567
|
|
|
|
|
|
Laden Sie über www.pcwelt.de/5Wk1MZ das Bash-Script „create_user_db.sh“ herunter. Speichern Sie dieses im Home-Verzeichnis und machen Sie es mit
|
|
|
|
... | ... | @@ -103,11 +107,11 @@ Erstellen Sie dann eine Konfigurationsdatei für das neue Anmeldeverfahren: |
|
|
|
|
|
Die Datei muss die folgenden vier Zeilen enthalten:
|
|
|
|
|
|
`auth [success=2 default=ignore] pam_userdb.so crypt=crypt `
|
|
|
`db=/etc/userpass`
|
|
|
`auth [success=1 default=ignore] pam_unix.so try_first_pass`
|
|
|
`auth requisite pam_deny.so`
|
|
|
`auth required pam_permit.so`
|
|
|
auth [success=2 default=ignore] pam_userdb.so crypt=crypt
|
|
|
db=/etc/userpass
|
|
|
auth [success=1 default=ignore] pam_unix.so try_first_pass
|
|
|
auth requisite pam_deny.so
|
|
|
auth required pam_permit.so
|
|
|
|
|
|
Beachten Sie, dass der Name der Datenbankdatei ohne die Endung „.db“ angegeben werden muss. Diese Konfiguration versucht zuerst eine Authentifizierung über „pam_userdb.so“. Sollte diese fehlschlagen, kommt die Standardmethode mit „pam_unix.so“ zum Einsatz.
|
|
|
|
... | ... | @@ -134,9 +138,9 @@ _Anmeldemethode ändern: Statt auf „common-auth“ verweisen Sie in der gewün |
|
|
|
|
|
Das dafür nötige PAM-Modul nebst zusätzlichen Tools ist zur Zeit nur bis einschließlich Ubuntu 18.04 verfügbar und dort mit diesen drei Befehlszeilen zu installieren:
|
|
|
|
|
|
`sudo add-apt-repository ppa:promasu/libpam-usb`
|
|
|
`sudo apt-get update`
|
|
|
`sudo apt install libpam-usb python-gi`
|
|
|
sudo add-apt-repository ppa:promasu/libpam-usb
|
|
|
sudo apt-get update
|
|
|
sudo apt install libpam-usb python-gi
|
|
|
|
|
|
Verbinden Sie einen USB-Stick mit dem PC. Er kann mit einem beliebigen, von Linux unterstützten Dateisystem formatiert sein. Mit dem Kommando
|
|
|
|
... | ... | @@ -153,6 +157,7 @@ fügen Sie einen Benutzer hinzu. Ersetzen Sie den Platzhalter „[Benutzer]“ d |
|
|
prüfen Sie, ob die Anmeldung funktioniert.
|
|
|
|
|
|
Erstellen Sie eine PAM-Konfigurationsdatei, beispielsweise „/etc/pam.d/inc_usb“ (siehe Abbildung). Unsere Konfiguration fragt zuerst die PIN ab und danach den USB-Stick. Ist der USB-Stick nicht verbunden, muss die Anmeldung über das Linux-Passwort erfolgen. Binden Sie die Datei entsprechend Punkt 6 in die gewünschten Konfigurationsdateien ein.
|
|
|
|
|
|
![Sicherer mit zwei Faktoren: „inc_usb“ fordert eine kurze PIN an. Die Anmeldung erfolgt aber nur mit verbundenem USB-Stick. Alternativ kann auch das Standardpasswort verwendet werden.](https://myria.de/dfiles/Images/104_06_Inc_USB.png)
|
|
|
_Sicherer mit zwei Faktoren: „inc_usb“ fordert eine kurze PIN an. Die Anmeldung erfolgt aber nur mit verbundenem USB-Stick. Alternativ kann auch das Standardpasswort verwendet werden._
|
|
|
|
... | ... | @@ -165,6 +170,61 @@ Ebenfalls praktisch ist ein Smartphone, das sich über Bluetooth mit dem PC verb |
|
|
## Passwörter und Verschlüsselung
|
|
|
**Mobile Geräte können schnell in fremde Hände geraten.** Sie sollten diese mit einem komplexeren Passwort oder Zwei-Faktor-Authentifizierung absichern (siehe Punkt 7). Jedoch auch das schützt Ihre Daten nur unzureichend. Mehr Sicherheit bietet die Verschlüsselung der Festplatte, wie auf Seite 60 beschrieben. Das Passwort zur Entschlüsselung sollte ausreichend kompliziert sein. Sie müssen es aber nur beim Systemstart eintippen. Für die Anmeldung beim System konfigurieren Sie das Auto-Log-in oder eine andere in diesem Artikel beschriebene Methode.
|
|
|
|
|
|
## Hardwareschlüssel für Google & Co. ##
|
|
|
USB-Tokens für die Onlineauthentifizierung gibt es schon ab zehn Euro. Ein Beispiel ist Key-ID Fido U2F (www.key-id.com) für etwa 12 Euro. Der USB-Sicherheitsschlüssel ist nach Fido (Fast Identity Online, https://fido
|
|
|
alliance.org), zertifiziert und bietet daher Kompatibilität mit vielen Webdiensten. „U2F“ steht für Universal Second Factor, also Zwei-Wege-Authentifizierung. Zur Zeit werden unter anderem Google, Dropbox, Facebook und Wordpress.org unterstützt.
|
|
|
|
|
|
Mit gut 50 Euro ist der Yubikey 5 NFC deutlich teurer (www.yubico.com). Der Sicherheitsschlüssel bietet dafür aber auch zahlreiche Funktionen, unter anderem Fido, Fido2, Webauthn, Smart Card (PIV-kompatibel), OTP, TOTP und Open PGP. Entsprechend lang ist die Liste der unterstützten Onlinedienste, die Sie unter https://www.yubico.com/works-with-yubikey/catalog/ finden. Mit Fido2 sind Sie auch für die Zukunft gerüstet. Bisher gibt es für den noch recht neuen Standard jedoch nur wenige Einsatzbereiche, etwa bei Microsoft für die Windows-10-Anmeldung ohne Passwort.
|
|
|
Unter Linux lässt sich der Yubikey für die Zwei-Wege-Authentifizierung in den Webbrowsern Firefox und Google Chrome nutzen. Dafür ist keine zusätzliche Software erforderlich. Es ist aber auch möglich, die Linux-Anmeldung mit dem Sicherheitsschlüssel zu schützen.
|
|
|
|
|
|
## Über den Yubikey bei Linux anmelden ##
|
|
|
Der Yubikey wird von Linux standardmäßig wie eine Tastatur behandelt und als „Human Interface Device“ erkannt. Die Konfiguration als Hardwaretoken für die Linux-Anmeldung erfordert jedoch höhere Rechte, die Sie über Udev-Regeln anfordern.
|
|
|
|
|
|
**Schritt 1:** Die erforderlichen „rules“-Dateien „69-yubikey.rules“ und „70-u2f.rules“ finden Sie unter www.pcwelt.de/5Wk1MZ im Ordner „yubikey“. Kopieren Sie beide Dateien in den Ordner „/etc/udev/rules.d“. Danach führen Sie die folgenden zwei Befehle in einem Terminalfenster aus.
|
|
|
|
|
|
sudo udevadm control --reload
|
|
|
sudo udevadm trigger
|
|
|
|
|
|
Starten Sie Linux neu.
|
|
|
|
|
|
``
|
|
|
**Schritt 2:** Installieren Sie die erforderliche Software:
|
|
|
|
|
|
`sudo apt-get install libpam-yubico yubikey-personalization`
|
|
|
|
|
|
Führen Sie danach diese drei Befehlszeilen aus:
|
|
|
|
|
|
ykpersonalize -2 -ochal-resp -ochal-hmac -ohmac-lt64 -oserial-api-visible
|
|
|
mkdir $HOME/.yubico
|
|
|
ykpamcfg -2 -v`
|
|
|
|
|
|
Das erste Kommando konfiguriert den Yubikey für das Challenge-Response-Verfahren. Der Key besitzt zwei Konfigurationsspeicher. „Slot 1“ ist vom Werk aus für Yubico-OTP eingerichtet und liefert das Einmalpasswort für Onlineanmeldungen, wenn Sie die Schaltfläche kurz berühren. „Slot 2“ ist nicht belegt, was Sie über die Option „-2“ und das Tool ykpersonalize ändern. ykpamcfg sendet eine zufällige Zeichenfolge (Challenge) an den Yubikey, der einen mit seinem privaten Schlüssel erzeugten Hashwert zurückgibt (Response). Das Ergebnis wird in einer Datei im Ordner „$HOME/.yubico“ gespeichert. Bei der Authentifizierung wird erneut eine Challenge an den Yubikey gesendet. Wenn er korrekt antwortet, handelt es sich um denselben Schlüssel, der bei der Initialisierung mit dem PC verbunden war, und die Anmeldung ist erfolgreich.
|
|
|
|
|
|
**Schritt 3:** Jetzt müssen Sie die Anmeldung über den Yubikey noch in die Linux-Anmeldung einbauen. Erstellen Sie (als root) die Textdatei „/etc/pam.d/inc_yubikey“ mit diesen vier Zeilen:
|
|
|
|
|
|
auth required pam_yubico.so mode=challenge-response
|
|
|
auth [success=1 default=ignore] pam_unix.so try_first_pass
|
|
|
auth requisite pam_deny.so
|
|
|
auth required pam_permit.so`
|
|
|
|
|
|
**Schritt 4:** Probieren Sie die Konfiguration zuerst für „sudo“ aus:
|
|
|
|
|
|
`sudo gedit /etc/pam.d/sudo`
|
|
|
|
|
|
Mint-Nutzer verwenden „xed“ statt „gedit“. Setzen Sie ein Kommentarzeichen (‚#‘) vor die Zeile „@include common-auth“ und fügen Sie darunter die Zeile
|
|
|
|
|
|
`@include inc_yubikey`
|
|
|
|
|
|
ein. Öffnen Sie dann ein weiteres Terminal, wo Sie diesen Befehl eingeben:
|
|
|
|
|
|
`sudo -i`
|
|
|
|
|
|
Der Wechsel zum Systemverwalterkonto funktioniert jetzt nur mit eingesteckten Yubikey und Passwort.
|
|
|
|
|
|
**Schritt 5:** Bauen Sie „@include inc_yubikey“ entsprechend in die Dateien
|
|
|
„/etc/pam.d/gdm-password“ (Linux Mint 19: „/etc/pam.d/lightdm“) sowie „/etc/pam.d/polkit-1“ ein.
|
|
|
Damit sichern Sie die Anmeldung an der grafischen Oberfläche zusätzlich über den Yubikey ab.
|
|
|
|
|
|
**Hinweis:** Das Copyright für diesen Artikel liegt bei
|
|
|
|
|
|
IT Media Publishing GmbH & Co. KG
|
... | ... | |