Usando as chaves de segurança Lockeet FIDO2 para autenticação local no Linux

As chaves de segurança aumentam significativamente o nível de segurança de qualquer solução. No Linux, os usuários podem se autenticar usando a chave de segurança graças ao módulo PAM pam_u2f. Um registro único é necessário para que o módulo PAM saiba quais chaves públicas são válidas para um usuário. Depois disso, os usuários podem se autenticar pressionando a chave no dispositivo USB.

Este guia cobre como proteger o login local do Linux usando as chaves de segurança Lockeet FIDO2. Os comandos no guia são para um sistema Ubuntu (ou baseado em Ubuntu), mas as instruções podem ser adaptadas para qualquer distribuição Linux.

⚠️ Aviso: Este guia pode potencialmente bloquear o acesso ao seu computador. É recomendável seguir as instruções primeiro em um computador secundário ou após um backup completo.

Requisitos

- Uma chave de segurança Lockeet FIDO com um PIN configurado.

- Qualquer uma das últimas versões do Ubuntu.

Instalando o Software necessário

1. Abra o Terminal

2. Execute:

- sudo apt-get update

3. Execute:

- sudo apt-get install libpam-u2f

No Ubuntu, o MFA pode ser usado em dois cenários de autenticação:

a) Como um segundo fator após inserir seu login e senha, tocando o token (2FA).

b) Como substituto da senha, usando um código PIN e tocando o token (Autenticação sem senha).

Configurar 2FA

1. Abra o Terminal

2. Execute o comando:

- mkdir -p ~/.config/Lockeet

3. Conecte a chave de segurança

4. Execute o comando:

- pamu2fcfg > ~/.config/Lockeet/u2f_keys

Toque a chave quando a luz piscar. Isso adicionará sua chave FIDO à lista de chaves de segurança aceitas.

5. Execute o comando:

- sudo mkdir -p /etc/Lockeet

6. Execute o comando:

- sudo mv ~/.config/Lockeet/u2f_keys /etc/Lockeet/u2f_keys

7. Execute o comando:

- sudo nano /etc/pam.d/common-auth

8. Adicione a linha:

- auth sufficient pam_u2f.so authfile=/etc/Lockeet/u2f_keys

9. Salve as alterações no arquivo /etc/pam.d/common-auth.

10. Verifique se é solicitado um toque quando o usuário fizer login, executando o comando:

- su fidouser

Configurar Autenticação sem Senha

1. Abra o Terminal

2. Execute o comando:

- pamu2fcfg -u username > /tmp/u2f_mappings

Observe que, se o comando for inserido sem o parâmetro username, um arquivo de configuração será criado para o usuário atual.

Toque a chave quando a luz piscar. Isso adicionará sua chave FIDO à lista de chaves de segurança aceitas.

3. O resultado deve ser um arquivo com conteúdo semelhante a este:

- cat /tmp/u2f_mappings

fidouser: hOzdi1ekgoVWLEzQH20uWJmoA3Dwno53zd2WCvlApHwfMVp/zz3+awUbeCL0E3pe,jzL+t6w7vhBgR2wwO+61/g8aliGNbDUpYZj6mxLXain4F1bQB0rvnwzP3n+n/GIXUp5Oiui0Du7/aKP/pE27PQ==,es256,+presence

4. Execute o comando:

- sudo mv /tmp/u2f_mappings /etc/Lockeet/u2f_mappings

5. Execute o comando:

- sudo nano /etc/pam.d/common-auth

6. Adicione a linha:

- auth sufficient pam_u2f.so authfile=/etc/Lockeet/u2f_mappings cue pinverification=1

7. Salve as alterações no arquivo /etc/pam.d/common-auth.

8. Verifique se é solicitado um PIN quando o usuário fizer login, executando o comando:

- su fidouser

Por favor, insira o PIN e toque o dispositivo.

9. Verifique o login pela interface gráfica.