我已经将 yubikey pam 模块添加到我的 sudo pam 配置中,我喜欢这个结果——没有 yubikey,任何人都无法通过 sudo 或 su 获得超级用户访问权限。
撇开这对于个人机器来说可能是过度安全的事实,我正在试图弄清楚如何要求 yubikey 也用于 gnome 管理员升级密码请求,但我不想用它来登录/解锁屏幕,只是为了获得管理员访问权限。
然而,当我查看 pam 模块时,我看到gdm-password和login(当然还有其他模块),它们似乎都不适合我想要做的事情。
可以这样做吗?如果可以,我需要更改哪个 pam 模块?
我在 Ubuntu 18.04、gnome-shell 3.28.1 上,内核版本 4.15.0-23-generic
答案1
现代 Ubuntu 版本上的大多数 GUI 提示都用于向 Polkit 进行身份验证:软件更新/安装提示、更改磁盘或用户帐户中的设置等。此外,在命令行上,使用systemctl(systemctl基于和的命令,如shutdown、reboot等)也可以通过 Polkit 进行身份验证(如果您不使用sudo)。对于所有这些,适用的 PAM 堆栈将是 Polkit 的:/etc/pam.d/polkit-1。