Hallo,
ich habe mich in letzter Zeit etwas mit Fingerabdruckscanner und Sicherheitsschlüssel unter Linux auseinandergesetzt.
Ich möchte gerne zum einloggen unter Ubuntu 21.10 einstellen, dass dafür nur ein Fingerabdruck reicht.
Auch möchte ich, dass SSH-Logins ebenfalls nur mit einem Fingerabdruck zu bestimmten Servern hergestellt werden soll, also eine 2FA durchgeführt werden muss. Zusätzlich möchte ich auch, dass im Browser der Fingerabdruck genutzt werden kann um sich einzuloggen.
Meine bisherige Erkenntnis ist, dass ein Fingerabdruckscanner, wenn er denn laufen würde, zum einloggen für Ubuntu eingestellt werden kann und das er im Browser für Logins funktioniert. Allerdings gibt es dafür keine native Unterstützung für SSH-Logins.
Wenn mann Sicherheitsschlüssel nutzt, kann man mit pam-Modulen einstellen, dass diese zum Login für Ubuntu klappt. Hierfür wird meines Verständnisses nach FIDO1 bzw. das U2F-Protokoll genutzt. Auch SSH-Logins können dank PIV-Protokoll und damit in Verbindung mit PGP oder mit dem FIDO2-Protokoll durchgeführt werden.
Da ich möglichst keine zwei Geräte dafür haben möchte, bleibt mir erstmal nur der Sicherheitsschlüssel.
Allerdings habe ich nur einen Sicherheitsschlüssel gefunden, bei dem das funktioniert. Und zwar ist es der Yubikey Bio.
Das einzige Manko ist, wie ich finde, dass der Formfaktor unhandlich ist. Ich möchte gerne, das ich den Sicherheitsschlüssel im Laptop lassen kann und in die Laptop-Tasche legen kann, ohne das der USB-Port kaputt geht. Auch wippt der Sicherheitsschlüssel im USB-Port wenn ich den Finger drauf lege um den scannen zu lassen, was auf längere Zeit sicherlich nicht so gut für den USB-Port ist. Ideal wäre, wenn dieser fast vollständig im USB-Port verschwindet, oder leicht rausguckt, wie sonstige USB-Empfänger für Mäuse oder Tastaturen.
Ich habe auch den Sicherheitsschlüssel Kensington VeriMark™ Guard gefunden und auch schon gekauft, in der Annahme das Sicherheitsschlüssel die U2F können und FIDO2 sich einfach in Linux-Systeme einbinden lassen. Dem scheint nicht so, weil auch nach anpassen von udev-Regeln und Neustart dieser für den Ubuntu-Login und SSH-Logins trotzdem nicht funktioniert. Das äußert sich daran, dass pamu2fcfg kein u2f fähiges Gerät findet, und dass beim generieren der nötigen SSH-Keyfiles ebenfalls kein kompatibler Sicherheitsschlüssel gefunden wird. Nur im Browser funktioniert er, hier auch ohne die udev-Regeln.
Meine hinzufügte udev-Regel:
Wisst ihr was, ich noch machen kann um den Kensington-Sicherheitsschlüssel zum laufen zu bekommen, oder kennt ihr einen alternativen Sicherheitsschlüssel, der so groß ist wie ein USB-Empfänger und unter Linux mit dem Protokoll U2F und FIDO2 funktioniert und im Browser nutzbar ist?
Oder kennt ihr einen USB-Fingerabdruckscanner, der unter Ubuntu 21.10 wirklich funktioniert? Und idealerweise wie ich es hinkriegen kann damit eine 2FA bei SSH-Logins zu machen?
ich habe mich in letzter Zeit etwas mit Fingerabdruckscanner und Sicherheitsschlüssel unter Linux auseinandergesetzt.
Ich möchte gerne zum einloggen unter Ubuntu 21.10 einstellen, dass dafür nur ein Fingerabdruck reicht.
Auch möchte ich, dass SSH-Logins ebenfalls nur mit einem Fingerabdruck zu bestimmten Servern hergestellt werden soll, also eine 2FA durchgeführt werden muss. Zusätzlich möchte ich auch, dass im Browser der Fingerabdruck genutzt werden kann um sich einzuloggen.
Meine bisherige Erkenntnis ist, dass ein Fingerabdruckscanner, wenn er denn laufen würde, zum einloggen für Ubuntu eingestellt werden kann und das er im Browser für Logins funktioniert. Allerdings gibt es dafür keine native Unterstützung für SSH-Logins.
Wenn mann Sicherheitsschlüssel nutzt, kann man mit pam-Modulen einstellen, dass diese zum Login für Ubuntu klappt. Hierfür wird meines Verständnisses nach FIDO1 bzw. das U2F-Protokoll genutzt. Auch SSH-Logins können dank PIV-Protokoll und damit in Verbindung mit PGP oder mit dem FIDO2-Protokoll durchgeführt werden.
Da ich möglichst keine zwei Geräte dafür haben möchte, bleibt mir erstmal nur der Sicherheitsschlüssel.
Allerdings habe ich nur einen Sicherheitsschlüssel gefunden, bei dem das funktioniert. Und zwar ist es der Yubikey Bio.
Das einzige Manko ist, wie ich finde, dass der Formfaktor unhandlich ist. Ich möchte gerne, das ich den Sicherheitsschlüssel im Laptop lassen kann und in die Laptop-Tasche legen kann, ohne das der USB-Port kaputt geht. Auch wippt der Sicherheitsschlüssel im USB-Port wenn ich den Finger drauf lege um den scannen zu lassen, was auf längere Zeit sicherlich nicht so gut für den USB-Port ist. Ideal wäre, wenn dieser fast vollständig im USB-Port verschwindet, oder leicht rausguckt, wie sonstige USB-Empfänger für Mäuse oder Tastaturen.
Ich habe auch den Sicherheitsschlüssel Kensington VeriMark™ Guard gefunden und auch schon gekauft, in der Annahme das Sicherheitsschlüssel die U2F können und FIDO2 sich einfach in Linux-Systeme einbinden lassen. Dem scheint nicht so, weil auch nach anpassen von udev-Regeln und Neustart dieser für den Ubuntu-Login und SSH-Logins trotzdem nicht funktioniert. Das äußert sich daran, dass pamu2fcfg kein u2f fähiges Gerät findet, und dass beim generieren der nötigen SSH-Keyfiles ebenfalls kein kompatibler Sicherheitsschlüssel gefunden wird. Nur im Browser funktioniert er, hier auch ohne die udev-Regeln.
Meine hinzufügte udev-Regel:
Code:
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="047d", ATTRS{idProduct}=="8055", TAG+="uaccess", GROUP="plugdev", MODE="0660"Wisst ihr was, ich noch machen kann um den Kensington-Sicherheitsschlüssel zum laufen zu bekommen, oder kennt ihr einen alternativen Sicherheitsschlüssel, der so groß ist wie ein USB-Empfänger und unter Linux mit dem Protokoll U2F und FIDO2 funktioniert und im Browser nutzbar ist?
Oder kennt ihr einen USB-Fingerabdruckscanner, der unter Ubuntu 21.10 wirklich funktioniert? Und idealerweise wie ich es hinkriegen kann damit eine 2FA bei SSH-Logins zu machen?
