我在 Kdeo Neon 5.27 上有一个 LUKS 加密驱动器。LUKS 密码很长,输入起来很麻烦。考虑到 KDE 需要多次重启,我厌倦了输入密码,所以我买了一个 Yubikey 来加快这个过程。然后我按照https://github.com/cornelinux/yubikey-luks或者更具体地说,我做了:
sudo apt update && sudo apt install yubikey-personalization-gui yubikey-luks -y- 插入 Yubikey
ykpersonalize -2 -ochal-resp -ochal-hmac -ohmac-lt64 -oserial-api-visibleyubikey-luks-enroll- 将 Yubikey 密码设置为更简单的密码。
lsblk- 发现我有两个加密分区,/root 和 swap。
- 编辑
/etc/crypttab并添加,keyscript=/usr/share/yubikey-luks/ykluks-keyscript到每个加密分区的行尾。 - 冉
update-initramfs -u - 重新启动
不幸的是,当我的系统再次启动时,我仍然必须输入完整的 LUKS 密码。之后,系统提示我使用 Yubikey 及其密码两次来完成登录。最终结果是,登录现在需要在输入之前冗长乏味的密码之外再增加一个步骤。
答案1
我发现解决方案是使用 Yubikey 的静态密码。这破坏了 Yubikey 的 2FA 安全功能,而只提供 1FA,但对于加快身份验证过程的既定目的而言,这是一个公平的权衡。
Yubico 有一个教程视频解释了如何做到这一点:https://www.youtube.com/watch?v=Hd1hYyGcSEg
一般步骤如下:
- 安装 YubiKey 个性化工具
sudo add-apt-repository ppa:yubico/stable
sudo apt-get update
sudo apt-get install yubikey-personalization yubikey-personalization-gui
- 插入您的 Yubikey。
- 运行个性化工具。
- 选择静态密码模式。
- 选择插槽 2。
- 点击“扫描代码”按钮。
- 在密码框中输入您的 LUKS 密码。
- 单击写入配置按钮。
- 将 configuration_log.csv 文件存储在安全的地方或删除它(您选择)。
- 打开文本编辑器。
- 按住 YubiKey 上的按钮 3 秒或更长时间。
- 当您看到密码出现并且后面跟着一行新行时,您就知道它起作用了。
- 删除文本,关闭编辑器并重新启动。
- 当提示您输入密码时,插入 YubiKey,长按 3 秒钟,即可进入。
*为了提高安全性,您可以在设置 YubiKey 时省略密码的前几个字符。这样每次您都必须先输入密码中缺失的部分,然后再长按 YubiKey 按钮。