Forum Linux.général double authentification

Posté par ultime-mega-ultra-rock le 20 février 2022 à 02:43. Licence CC By‑SA.

Étiquettes :

fév.

2022

salut à tous ,

je souhaite mettre en place un système de double authentification sur mon pc via un mdp et une clé USB ou une clé type
FIDO2 U2F.
il me semble qu’il y a un module pam pour le faire ? une idée ?

# Yubikey

Posté par gUI (Mastodon) le 20 février 2022 à 08:13. Évalué à 5. Dernière modification le 20 février 2022 à 08:44.

Je ne l'ai jamais mis en oeuvre, mais je sais que pour la Yubikey ça existe.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
- [^] # Re: Yubikey
  
  Posté par ultime-mega-ultra-rock le 21 février 2022 à 19:18. Évalué à 2.
  
  oui , apparent ils ont développé un module pour la yubikey.
  merci.
  - [^] # Re: Yubikey
    
    Posté par gUI (Mastodon) le 21 février 2022 à 20:03. Évalué à 3.
    
    selon la doc de Archlinux il serait compatible avec bcp d'autres
    
    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
# ça fonctionne chez moi

Posté par cg le 20 février 2022 à 11:03. Évalué à 7. Dernière modification le 20 février 2022 à 11:03.
Je n'avais jamais essayé sur mon ordi pour le login, mais avec une Yubikey "Security Key" (la bleue pas chère), ça fonctionne. J'ai suivi les instructions du wiki de Archlinux (coup de bol je suis sur Arch ;) ) :

Tout d'abord, vérifier qu'on a un backup sous la main, ou un système de secours genre live-usb.
Ensuite, s'ouvrir un shell root dans une console, au cas où.

Installer le package pam-u2f.

Se créer une empreinte de la clé (ici, mil c'est le nom de mon ordi) :
```
pamu2fcfg -o pam://mil -i pam://mil > ~/.config/Yubico/u2f_keys
```
Premier test, en activant le MFA seulement pour ssh :
```
charles@mil  ~$ cat /etc/pam.d/sshd
#%PAM-1.0
#auth     required  pam_securetty.so     #disable remote root
auth      required  pam_u2f.so  origin=pam://mil appid=pam://mil
auth      include   system-remote-login
account   include   system-remote-login
password  include   system-remote-login
session   include   system-remote-login
```
Essayer une connexion ssh sur localhost, youpi ça fonctionne !

Second test, globalement :
```
charles@mil  ~$ cat /etc/pam.d/system-login
#%PAM-1.0

auth       required   pam_u2f.so nouserok cue origin=pam://mil appid=pam://mil
auth       required   pam_shells.so
auth       requisite  pam_nologin.so
auth       include    system-auth
[...]
```
Ici, il y a des options :
* nouserok pour laisser entrer les users qui n'ont pas de clé u2f configurée
* cue pour afficher le message "please touch the device".

Sur ce second test, ça a activé le MFA sur le login console, lightdm, ssh, mais pas sudo : ce dernier utilise system-auth et pas system-login.

Dans le cas d'un homedir chiffré par la clé, il faut bien sûr mettre les clés en dehors du homedir, bien sûr.

Voilà pour un premier test concluant ;), bon dimanche !
- [^] # Re: ça fonctionne chez moi
  
  Posté par Gil Cot ✔ (site web personnel, Mastodon) le 22 février 2022 à 01:01. Évalué à 2.
  
  Méga mercis ; ça servira à +d'1
  
  “It is seldom that liberty of any kind is lost all at once.” ― David Hume
# double authentification

Posté par ultime-mega-ultra-rock le 21 février 2022 à 19:24. Évalué à 2.

ah super un grand merci, je vais regarder tout ça dans le détail !
# Commentaire supprimé

Posté par Anonyme le 22 février 2022 à 13:22. Évalué à -1. Dernière modification le 22 février 2022 à 13:56.

Ce commentaire a été supprimé par l’équipe de modération.
# Le matériel et les logiciels sont des logiciels libres et à code source ouvert.

Posté par ultime-mega-ultra-rock le 06 mars 2022 à 02:11. Évalué à 2.

pour ce qui préfère le matériel opensource.

https://www.nitrokey.com/fr

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.