语境
我很懒。但我也(有点)担心安全问题。
因此,在我的机器(运行 Fedora)上,我希望能够:
- 使用强密码登录我的会话,
- 当我的 Yubikey 插入时,使用快速输入密码登录我的会话。
原因有 3 个:
- 我希望能够仅使用密码登录到我的机器(如果我丢失了 Yubikey,或者如果我在床上很舒服并且我不想起床,请抓住夹克里的 Yubikey - 请记住,我'我很懒)。
- 然而,如果我插入了 Yubikey(例如在工作中),我只想使用快速输入的密码登录(记住,我很懒),因为我经常锁定我的会话 - 所以必须重新登录。
- 不过,我不想单独使用我的 Yubikey(没有密码),因为当我锁定会话时我可能会忘记拔掉钥匙(懒惰......并且担心安全)。
问题
如何设置我的用户帐户,以便我可以使用这两种不同的身份验证方法之一登录?
- 仅密码短语,
- 密码+Yubikey
答案1
这是我到目前为止提出的解决策略:
- 一个人可以创建多个具有相同 UID 的帐户(参见为什么我可以创建具有相同 UID 的用户)——即从操作系统的角度来看,两个帐户都是相同的用户,但我们可以为每个帐户采用单独的身份验证方法(一个使用密码,另一个使用 Yubikey + 密码)。这是否是一个好主意正在争论。
- 有可能需要 Yubikey 和密码作为身份验证策略。它定义在Linux PAM系统。 (也可以只需要密码!)
目前我还没有解决的点:
- 如何分配特定的 PAM 规则每个帐户(参见上面第 1 点)?
- 如何在 GDM(GNOME 显示管理器 — 即 Fedora 中进行身份验证的 GUI)中实现 Yubikey + 密码短语身份验证策略?
(一旦我在这些问题上取得进展,我将更新这篇文章。)