Linux(Ubuntu)USB Auth

4

我希望能够使用带有文件的USB驱动器对PAM进行身份验证。我已经阅读了如何使用PAM模块执行此操作,该模块读取设备的特定USB硬件ID,但如果设备出现故障或丢失,则无法进行身份验证。我更喜欢使用BitLocker使用的方法,要求在驱动器上找到特定文件以进行身份​​验证。这样我可以将另一个驱动器保存在安全位置作为备份。

欢迎任何其他建议。我只想要一个更高级别的安全性,只需要一个密码。

编辑:现有的pam方式(我不喜欢):http//ubuntuforums.org/showthread.php?t = 17571

linux  ubuntu  usb  pam 
themicahmachine
source
“如何在USB记忆棒上设置密钥”意味着它使用了驱动器的硬件ID?
Ignacio Vazquez-Abrams 2010年
themicahmachine 2010年
@Ignacio:文件doc/FAQpam_usb:“USB设备都由其制造商的属性(供应商,产品序列号),并通过该pam_usb在认证的USB设备上写入和更新称为一次性密码本的几个随机字节标识。 “
grawity 2010年

Answers:

2

PAM模块是可堆叠的。配置身份验证非常容易,因此如果一个模块出现故障,则会回退到要求输入密码。所以我认为你没有理由不使用pam_usb(正如Ubuntu Forums线程中所建议的那样)。

auth    sufficient      pam_usb.so
@include common-auth

(注意sufficient而不是required

grawity
source
这是真的,但我正在尝试要求USB。如果有人要安装键盘记录器并获取密码,他们仍然无法在没有物理设备的情况下获得访问权限。
iticahmachine 2010年
@themicahmachine:1)如果有人设法安装影响登录屏幕的键盘记录器,他必须已经有权root访问,在这种情况下你是拥有3D,USB或没有USB。2)这样的设备检查只是一个检查,可以很容易地绕过:相同的论坛页面提到单用户模式,它跳过PAM并且只检查shadow。要使此类检查起作用,您需要严格的物理安全性 - 锁定案例,受限制的引导加载程序。
grawity 2010年
@themicahmachine:我能想到的一个解决方法是为自己和另一个设备提供一个设备root。如果丢失设备A,请以root身份登录并配置新设备。如果您丢失设备B,请自行登录,su(do)root配置新设备。//或者,您可能需要USB或一次性密码(您在“备份密钥”位置存放的列表;还有用于令牌生成密码的PAM模块)。
grawity 2010年
好点...我正在为所有好消息标记你的答案是正确的。看起来我可以使用TrueCrypt完成我想要的并运行全盘加密并将引导加载程序放在usb棒上。没有USB =没有解密驱动器。对于关键记录器......如果有人可以物理访问机器,他们可以安装硬件密钥记录器。键盘和计算机之间串联的USB设备......除非您真正看到机器后面,否则无法检测到。
iticahmachine 2010年
1
@themicahmachine:如果是硬件键盘记录器,甚至会记录您的全盘加密密码。(但是FDE仍然是比简单的USB检查更好的选择,因为后者可以从他自己的媒体启动,绕过所有其他类型的保护。)
grawity 2010年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.