Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Убунту

Вход без пароля в Ubuntu 20.04 с использованием FIDO2

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Теория
  4. Пример
  5. Применение
  6. Заключение

Вопрос или проблема

Итак, я настроил вход без пароля через FIDO2, добавив

auth sufficient pam_u2f.so authfile=/home/me/.config/FIDO2/u2f_keys

следуя инструкциям на странице yubico для генерации кода u2f_keys

Это отлично работает как дополнительный фактор аутентификации, но я хотел бы сделать его единственным (то есть мы переходим на вход без пароля) или, по крайней мере, основным способом аутентификации. Сейчас при входе в систему и использовании sudo он запрашивает пароль, а затем предлагает прикоснуться к ключу.

Думаю, вы имеете в виду этот гид от yubico. В руководстве сказано:

Добавьте строку ниже после строки «@include common-auth».

auth required pam_u2f.so

Итак, если у вас все еще есть строка @include common-auth в вашем pam файле, вы также получите эти правила. Проверьте правила внутри этого файла или полностью удалите строку (внимание, вы можете заблокировать себе доступ)

Ответ или решение

В условиях стремительного развития технологий и усиливающегося внимания к вопросам кибербезопасности организация безпарольного входа становится чрезвычайно важной задачей. Одним из надежных методов обеспечения этого является использование стандартов FIDO2 и U2F, которые позволяют установить многофакторную аутентификацию на основе аппаратных ключей безопасности, таких как ключи Yubico. Рассмотрим, как можно настроить исключительно безпарольный вход в Ubuntu 20.04 с использованием FIDO2.

Теория

Принцип работы технологии FIDO2 заключается в том, что она предоставляет возможность пользователям получать доступ к системам без необходимости ввода традиционного пароля. Вместо этого используется U2F-ключ, который подтверждает личность пользователя. Это решение значительно повышает уровень безопасности, так как практически исключает возможности фишинга и атаки методом подбора пароля.

В операционных системах на Linux, в частности Ubuntu, процедуры аутентификации управляются через PAM (Pluggable Authentication Module). PAM предоставляет гибкий интерфейс, настраиваемый под различные методы аутентификации, включая работу с аппаратными токенами.

Пример

В вашем случае, вы уже добавили следующее правило в настройках PAM:

auth sufficient pam_u2f.so authfile=/home/me/.config/FIDO2/u2f_keys

Данный параметр подразумевает, что при входе U2F-ключ становится "достаточным" фактором для аутентификации, однако, учитывая, что и традиционная аутентификация через пароль осталась, она все еще активна.

Следуя рекомендациям из раздела поддержки Yubico, вы удачно настроили работу ключа как дополнительного фактора. Однако ваша цель — исключить ввод пароля, сделав U2F-ключ основным и единственным способом аутентификации.

Применение

  1. Изменение конфигурации PAM: Удалите или модифицируйте строку @include common-auth, чтобы полностью избежать вмешательства стандартной системы аутентификации. Эту операцию рекомендуется проводить осторожно:

    • Удалите строку или, вместо этого, прокомментируйте её. В файле /etc/pam.d/sshd и /etc/pam.d/sudo он вероятно выглядит следующим образом: 
      # @include common-auth

  2. Обновите правило для U2F: Измените часть кода так, чтобы U2F стал единственным методом аутентификации:

    auth required pam_u2f.so authfile=/home/me/.config/FIDO2/u2f_keys

    Здесь required гарантирует, что без успешной аутентификации через U2F-ключ доступ не будет предоставлен.

  3. Резервное копирование файлов: Обязательно создайте резервные копии всех конфигурационных файлов перед тем, как вносить изменения:

    sudo cp /etc/pam.d/sshd /etc/pam.d/sshd.bak
sudo cp /etc/pam.d/sudo /etc/pam.d/sudo.bak

  4. Тестовые проверки: Рекомендуется использовать отдельный терминал или сеанс SSH для проверки ваших настроек без отключения текущего сеанса, чтобы избежать возможности блокировки доступа к системе.

  5. План действий в случае ошибок: Обязательно продумайте, как вы будете возвращать прежние настройки (например, доступ к альтернативной учетной записи администратора или физический доступ к машине с помощью live USB/CD для редактирования файлов).

Заключение

Переход на безпарольную аутентификацию через FIDO2 безусловно укрепляет безопасность системы благодаря сниженному риску угона учётки через кражу или подбор пароля. Однако соблюдение предосторожностей и создание резервных копий крайне важны, чтобы избежать нежелательной блокировки системы. Использование FIDO2 как основной метод аутентификации требует тщательной конфигурации PAM и сознательного подхода к управлению доступом, ведь ошибочное отключение стандартных методов аутентификации может привести к потере доступа к системе.

Таким образом, данные действия представляют собой не только техническое усовершенствование вашей системы безопасности, но и подразумевают более широкую стратегию управления идентификацией пользователей в корпоративной или личной практике использования IT-систем в целом.

authentication password two-factor-authentication
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности