[SOLVED] Dostęp do systemu przez klucz USB

[klawiszowy]

Witam,
Jako, że Ubuntu podobno daje nieograniczone niczym możliwości, pytam czy jest możliwość logowania się przez klucz USB. Np. W momencie logowania, kiedy wpisujemy login i hasło pojawia się informacja włóż swój klucz USB. Po czym wkładamy jakiegoś pendrive i jak to mówi jeden z bohaterów znanego serialu - gitara.

[goferrr]

Nawet nie trzeba daleko szukać.

[klawiszowy]

tak więc podana paczka w HOWTO już nie jest dostępna znalazłem inne miejsce

svn co svn://delta-xi.net/svn/pam_usbauth

ale nie wiem co dalej... bo

sudo dpkg -i usbauth_v0.3-2_i386.deb

nie działa :/

[royhawk]

Polecam ten sposób i oprogramowanie, działa jak w zapytaniu:)
i bez formatowania PenDrive, można wykorzystać dowolnego PenDriva, z danymi.

Tutorial - http://sevos.jogger.pl/2007/06/13/pam-usb-w-ubuntu/
Nowsze paczki dla Ubuntu - http://guillaume.segu.in/blog/home/91/pamusb/

Pozdrawiam

[klawiszowy]

royhawk wszystko ładnie, ślicznie w tej Twojej metodzie, ale jest opcja skip... i po naciśnięciu ESC można się zalogować jak poprzednio... a nie o to chodzi... chodzi o to że bez pendriva to można się... połaskotać...

ponawiam pytanie co zrobić z tym czymś co zaczyna się na "svn co", bo kompletnie nie mam pojęcia...

[Tomek_]

ja wymyslilem sposob aby nie mozna bylo wejsc na linuxa, ba, nawet na windowsa nie wejdziesz nie wiem czy dobrze to wymyslilem, ale mozna by zainstalowac gruba na pendrivie, oraz wykasowac MBR (zerowanie ? )dysku w kompie, instalacja gruba z bledna konfiguracja sie nie sprawdzi bo mozna zmienic sciezki (mowa o HDD), no chyba ze sam grub z czystą lista o ile mozna ( nie wiem)

no i jesli nie bedziesz miec skonfigurowanego pendriva z grubem to kompa nie wlaczysz
zaznaczam ze nie spawdzalem, mam za male doswiadczenie aby sie bawic w takie rzeczy

[klawiszowy]

Tomek_ no pomysł gitara... ale ja też jestem za cienki bolek żeby takie magiczne sztuczki odstawiać... ja nawet myślałem o tym, żeby podczas ładowania jedną, ale kluczową bibliotekę ciągnęło z pena... ale tego też nie wiem jak zrobić...

Ale napisałem HOWTO jak zrobić to jakoś inaczej - przy starcie prosi dodatkowo o pin klucza USB - który musi się znajdować w momencie logowania.

Jako, że wersja programu zaproponowana przez PanCiasteczko w tym HOWTO tutaj jest już nieaktualna, a konfigurowanie nowej wersji różni się troszeczkę od starej napisałem to HOWTO.

Żeby Was zachęcić to na początek miła informacja:
Nie biorę odpowiedzialności za szkody jakie powstaną po wykonaniu tego HOWTO, a w szczególności za niemożliwość zalogowania się lub użycia komendy SUDO.
A teraz czyńcie swoją powinność.

Pobieramy:

Kod: Zaznacz cały

wget http://packages.delta-xi.net/pam_usbng-v0.2.deb

Instalujemy

Kod: Zaznacz cały

sudo dpkg -i pam_usbng-v0.2.deb

Formatujemy Pendrive według przykładu podanego tutaj.

Odpalamy konfigurator:

Kod: Zaznacz cały

sudo uaconf.pl

Postępujemy według poleceń programu

Kod: Zaznacz cały

Make sure that your main authentication USB device is plugged in, then press enter.
(and in addition, if you like, a second device as backup-solution).


Searching for USB storage devices... OK
        [0] GH_PicoBit pointing to /dev/sde [USBID 0773143900A6], 1029MB
        [1] WD_3200JS_External pointing to /dev/sdd [USBID 57442D574341504431303935343139], 320GB

Please enter the number of the device you want set up for use with usbauth: 0

Wybieramy urządenie którym chcemy autoryzować dostęp wpisując numer z nawiasów kwadratowych.

Kod: Zaznacz cały

If you like to create a backup-key-device of the above, enter number: 

The chosen device contains the following currently mounted partitions:
         [partition] /dev/sde1

Try to unmount? (Y/n)y
        Trying to unmount /dev/sde1
Ok, all partitions have been unmounted. Let's proceed.


                ************************************************************
                                       W A R N I N G                       
                ************************************************************
All data on the selected device will be lost!
Are you -sure- to prepare the USB memory device
        GH_PicoBit [USB ID: 0773143900A6],
        located at /dev/sde
        holding 1029MB of data? (y/N) y

Tłumaczenie dla opornych: Jeżeli zgodzicie się na tą opcję utracicie wszelkie dane z waszych urządeń

Kod: Zaznacz cały

Deleting partition table... OK
Creating new partition table... OK
Everything seems to be fine. Please specify the user which shall be able to gain authentication: blazej

Podajemy nazwę użytkownika dla którego chcemy mieć autoryzację USB.

Kod: Zaznacz cały

Your configuration file has been saved to pamauth-ng.1.conf. You may now run:
sudo uadevwrite pamauth-ng.1.conf 0773143900A6


NOTE: Don't forget to copy the new config to /etc/pamauth-ng.conf!

Wykonujemy polecenie zadane przez program (znajduje się ono w przedostatniej linijce którą zwrócił program) w moim przypadku:

Kod: Zaznacz cały

udo uadevwrite pamauth-ng.1.conf 0773143900A6

gdzie 0773143900A6 to numer USBID naszego urządenia.
Powinno się pojawić coś takiego:

Kod: Zaznacz cały

[DEBUG] Loaded 1 users from configfile.
        Writing data on 0773143900A6 for user blazej with password M0QqGEJanhEh... 
                PIN: 123

PIN podajemy jaki nam się żywnie podoba, bylebyśmy go pamiętali. Od teraz będzie to nasze hasło dostępowe jak będziemy coś autoryzować USB.
Następnie edytujemy dwa pliki
Mamy kilka możliwości
musimy wiedzieć, że:
auth musi się znaleźć w każdej linijce dotyczącej autoryzacji
sufficient to wystarczający
required to wymagany
pam_usbng.so jest odpowiedzialny za weryfikację za pomocą klucza USB
pam_unix.so jest odpowiedzialny za weryfikację za pomocą użytkownika
Za pomocą tych kombinacji możemy wprowadzać różne formy zabezpieczenia
Pierwszy odpowiedzialny za autoryzację komendy SUDO

Kod: Zaznacz cały

 sudo nano /etc/pam.d/sudo
 

Mój wygląda tak

Kod: Zaznacz cały

#%PAM-1.0

 auth sufficient pam_usbng.so

 auth required pam_unix.so

 @include common-account

Drugi plik odpowiedzialny jest za logowanie

Kod: Zaznacz cały

 sudo nano /etc/pam.d/common-auth

I wygląda tak:

Kod: Zaznacz cały

#

# /etc/pam.d/common-auth - authentication settings common to all services

#

# This file is included from other service-specific PAM config files,

# and should contain a list of the authentication modules that define

# the central authentication scheme for use on the system

# (e.g., /etc/shadow, LDAP, Kerberos, etc.).  The default is to use the

# traditional Unix authentication mechanisms.

#



auth    required        pam_usbng.so

auth    required        pam_unix.so nullok_secure

Pierwsze logowanie musi się odbyć z kluczem – inaczej jak podaje dostawca oprogramowania wszsytko zostanie cofnięte do stanu poprzedającego nasze działania.

Przed przystąpienieniem do działania warto zapoznać się z tym HOWTO, ponieważ tutaj wszystko jest wytłumaczone dokłanie, a ja opisałem „co zrobić żeby działało”

Zainteresowanych odsyłam do HOWTO podanego przez producenta oprogramowania.