fido-u2f
在启动时解锁 LUKS 卷后可以删除 FIDO2 安全令牌吗?
FIDO2 安全令牌应用于在启动时解密 Linux 计算机中的所有磁盘。 systemd 从版本 248 开始允许这样做。 使用 LUKS 进行全磁盘加密时,FIDO2 安全令牌是否可以在启动后删除,或者是否需要保持插入状态才能使磁盘可用于读/写操作? ...
fido-u2f
fido-u2f
在 Macos 上使用 libfido2 在 USB 安全令牌上设置 PIN
我购买了 FIDO-U2F/FIDO2 USB 安全令牌,并设法将其添加为我的 macOS (sonoma) 上的 github 的密钥。 它不适用于另一个网站,我怀疑这是因为密钥还没有 PIN 码。 可以使用 libfido2 提供的 fido2-token 命令来设置密钥 PIN,libfido2 可以在 macOS 上通过brew 安装。 但它需要一个设备名称作为参数,我不知道要使用什么设备名称。在 Linux 上,我们必须添加用户设备,密钥卖家提供了这样做的方法,但他们没有提供 macOS 的任何信息。 Windows 在系统参数中提供了 GUI 界...
fido-u2f
如何使用 FIDO2 密钥解锁 kdewallet
我使用 FIDO2 密钥登录 KDE 会话,但 KDE 钱包要求输入密码。我正在使用它,发现将密钥、ssh 密码等保存在一个地方非常有用。有没有办法用 FIDO2 密钥解锁?或者可能有适用于 FIDO2 的替代钱包? ...
fido-u2f
如何在 Linux 中设置密钥验证?
我有设置FIDO2 的PAM 模块pam_u2f.so作为我的 LMDE 5(基于 Debian 11)计算机上的主要身份验证方法。 有没有办法将密钥支持与此 PAM 模块或另一个模块集成? 具体来说,我正在寻找使用 Google 的能力万能钥匙除了我的硬件安全密钥 (Yubikey)。 使用 Google/Apple 的密钥有几个优点,但也存在潜在的隐私问题: 凭据与 Google 帐户绑定并在所有 Google 设备之间同步,因此任何设备都可以用作身份验证器 不与可能丢失/被盗的物理对象绑定 懒惰的我的要点:无需从配置的每个网站和设备中删除丢失/被盗/...
fido-u2f
带有 FIDO2 的 systemd-cryptenroll
我已经使用 FIDO2 设置了 luks 卷解锁以及使用 sd-cryptenroll 的恢复密钥: systemd-cryptenroll --fido2-device=auto /dev/my-luks-device 插槽配置如下: SLOT TYPE 1 recovery 3 fido2 一切正常,但以一种奇怪的方式:在启动时,我首先被要求提供恢复密钥,然后我按了几次回车键,基本上恢复密钥失败了,然后只有在用户存在的情况下才会提示我输入 fido2。 我想知道这是否与插槽顺序有关,尽管手册页没有提及任何相关内容。实际上,在尝试 ...
fido-u2f
LUKS 启动时使用 FIDO“或”密码
我已经成功用钥匙LUKS在启动时解锁了我的分区FIDO2 我crypttab的是 myvolume /dev/sda5 - fido2-device=auto 但我仍然保留一个LUKS带有密码的钥匙槽(我的fido钥匙始终在我的扩展坞上,而不是我的笔记本电脑上)。现在,如果未连接钥匙,我的启动顺序就会失败,因为它始终需要钥匙 PIN 码。 使用FIDOPam 模块,我只会被询问PIN+touch密钥是否已连接,否则它会退回到仅询问密码。 问题: LUKS从启动顺序中取消锁定时是否可能出现类似的行为? ...
%20%E5%9C%A8%20Fedora%2036%20%E4%B8%8A%E5%90%AF%E5%8A%A8%E6%97%B6%E8%A7%A3%E9%94%81%20LUKS%20%E4%B8%8D%E8%B5%B7%E4%BD%9C%E7%94%A8.png)
fido-u2f
FIDO2 (YubiKey) 在 Fedora 36 上启动时解锁 LUKS 不起作用
我尝试在 Fedora 36 中使用 FIDO2 (YubiKey 5) 在系统启动时解锁 LUKS 卷,但没有成功,因为它不断要求提供常规 LUKS 密码,而不使用令牌来解锁 LUKS 卷。 我跟着伦纳特·珀特林的例子在他的博客上,用于systemd-cryptenroll注册 YubiKey,然后/etc/crypttab使用适当的配置修改文件。cryptsetup luksDump显示令牌已添加到 LUKS 标头中。然而,在系统启动时,会显示 Plymouth 启动屏幕,提示输入常规 LUKS 密码来解锁卷。 我认为 Plymouth 可能不会显示输入...
fido-u2f
!!!注意!
我最近尝试了 systemd-homed 并将我的 Yubikey 注册为 FIDO2 设备。当我尝试通过创建的家庭进行身份验证时,homectl authenticate <user>它会正确激活 Yubikey,要求输入 PIN 码并等待触摸,然后出现通常的密码提示。 但是当我继续从 tty 登录该帐户时,系统仅提示我输入密码,U2F 完全被省略。尽管如此,即使 Yubikey 断开连接,之前锁定的家也会被解密并打开。 如何强制使用 U2F 进行任何身份验证?我知道pam-u2f,但如果它与这里相关,我不知道如何。我无法将保护“传统”用户登录...
fido-u2f
OpenSSH U2F 作为第二个因素,并回退到 Google Authenticator
我们使用 Google Authenticator 进行 2FA SSH 登录。它的配置/etc/pam.d/sshd如下: @include common-password auth required pam_google_authenticator.so nullok 你可能知道,OpenSSH 8.2 附带 U2F 密钥支持。我们希望按以下方式使用 U2F: 如果用户使用启用 U2F 的密钥进行身份验证,则无需询问 Google 身份验证器代码即可让他们进入。 如果用户使用简单密钥进行身份验证,请要求提供身份验证器代码。 我该如何实现这一目标? ...
fido-u2f
通过 SSH 的 U2F/FIDO 转发
是否有任何机制可以通过 SSH 转发对 U2F/FIDO 安全密钥(例如 Yubikey)的访问?我希望能够使用本地安全密钥来授权远程主机上的 sudo 访问。 ...
.png)
fido-u2f
使用 U2F 令牌设置无密码登录 (Yubikey 5)
我正在尝试为 Linux Mint 19.3 设置无密码登录,以便能够使用 Yubikey 令牌或密码登录。我按照以下指示进行操作尤比奇网站和这个线程,但我无法让它发挥作用。 简而言之,这就是我所做的: sudo pamu2fcfg -u `whoami` > /etc/Yubico/u2f_keys 在/etc/pam.d/我创建通用-u2f包含以下内容: auth sufficient pam_u2f.so authfile=/etc/Yubico/u2f_keys debug debug_file=/var/log/pam_u2f.log...
%20%E6%97%A0%E5%AF%86%E7%A0%81%E7%99%BB%E5%BD%95%E5%90%8E%E5%A6%82%E4%BD%95%E8%A7%A3%E9%94%81%20Gnome%20%E5%AF%86%E9%92%A5%E7%8E%AF%EF%BC%9F.png)
fido-u2f
使用 Solokey (Yubiko) 无密码登录后如何解锁 Gnome 密钥环?
我在 Ubuntu 19.04 系统上进行了一些实验,看看这里: https://schulz.dk/2019/08/23/using-solokey-for-linux-login/ 和这里: https://wiki.gnome.org/Projects/GnomeKeyring/Pam#Advanced_configuration 之后创建了一个名为 common-fido-auth 的文件并将其包含在 /etc/pam.d/sudo 和 /etc/pam.d/gdm-password 最后一张看起来像这样 #%PAM-1.0 sess...
fido-u2f
如何在 Debian 中通过安全密钥离线生成 OTP 代码?
假设您需要使用独立于生成代码的 Debian 系统的设备来获取 OTP。这里,U2F 并非在所有情况下都有效,所以我需要 OTP。我正在尝试通过 Debian 中的 YubiKey Neo 添加离线 OTP 功能。我的想法: 你的 Linux 上有一些关键服务器 一些生成 OTP 的前端。 我还没有找到任何用于生成 OTP 的 GUI/UI 前端apt search ...。已经安装并部分测试的东西 apt search YubiHSM sudo apt install yubikey-val sudo apt install python-se...
fido-u2f
如何在 NordVPN 登录中使用安全密钥?
情况:NordVPN 设置中的静态密码文件 建议:除建议的安全密钥外的任何安全密钥,尤比钥匙,因为用户基数大 我听说理论上可以通过 VPN 设置安全密钥(Fido U2F)。我正在考虑如何在实践中使用 NordVPN 来做到这一点。他们的客服说暂时做不到,但是在接下来的讨论中表示可以。 不幸的是,我们不知道这是否适用于我们的服务,您需要自己测试一下。 VPN 文件 他们的默认 udp 文件如下所示/etc/openvpn/fi1...udp... # _ _ ___ _...
fido-u2f
如何在 Debian 中使用按钮添加安全密钥?
我正在尝试添加带有按钮的安全密钥(菲多U2F)在 Debian 中。我认为问题可能出在按钮上,因为我之前在 Transcend HDD 中使用过此类按钮,但 Linux 中对此类按钮没有良好的支持。我的测试目标是Gmail这里使用互联网浏览器 Chrome,我尝试将密钥添加为 Gmail 的经过身份验证的密钥。然而,它总是失败。 Gmail 中的步骤 两步验证 > 安全密钥 >安全密钥是一种用于登录的小型物理设备。它插入计算机的 USB 端口。然后转到设置并尝试添加 我按照指示将其插入。在不同的设置中重复迭代多次,但没有任何效果,如以下错误所...