Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Czytnik linii papilarnych dla ubogich

Chciałbym przedstawić ciekawą alternatywę dla czytnika linii papilarnych - pam_usb, czyli autoryzacja pamięcią USB. Ma to pewne oczywiste wady względem prawdziwego czytnika, ale ma też zalety.

Instalacja

Najpierw trzeba zassać paczki libpam-usb i pamusb-tools. Następnie dodajemy do pliku /etc/pam.d/common-auth taką linijkę:auth sufficient pam_usb.so

Konfiguracja

Teraz wypadałoby to cudo skonfigurować. Uruchamiamy "pamusb-conf --add-device DOWOLNA_NAZWA" z uprawnieniami roota i wybieramy, które urządzenie chcemy dodać. Potem przypisujemy to urządzenie do użytkownika komendą "pamusb-conf --add-user UŻYTKOWNIK". Jeśli chcemy, możemy obejrzeć plik konfiguracyjny - /etc/pamusb.conf

Użytkowanie i zasada działania

Od tej chwili nie będziemy pytani o hasło przy logowaniu z włożonym pendrivem. Działa też przy sudo i innych podobnych rzeczach. Autoryzacja działa na podstawie numeru seryjnego i takich tam pendrive'a, ale też tzw. one-time-padów. Są to małe (~4 KiB) pliki umieszczane na urządzeniu (z kopią do weryfikacji w ~/.pamusb/) zmieniane co kilka montowań. Nawet jeśli ktoś podrobi naszego pendrive'a i skopiuje ten plik, szybko stanie się on nieaktualny, a podróba bezużyteczna. Jest to moim zdaniem główna przewaga libpam-usb nad podobnym libpam-rsa.

USB kontra paluch

No ale czy może to zastąpić czytnik linii papilarnych? Z powodzeniem!

Zalety:

+ "Masz tu pendrive'a, włącz mi komputer. Ja idę za potrzebą, zaraz wracam". No palca sobie przecież nie wyrwę.
+ Przenosi pliki.
+ Możliwość blokowania ekranu (lub wykonania dowolnej innej czynności) poprzez "urwanie".

Wady:

- Wypadałoby zawsze nosić taki klucz przy sobie (można sobie szybko wyrobić nawyk).
- Można zgubić.
- Niby nie działa przez SSH, ale wewnątrz screena czy tmuksa magicznie zaczyna. I root odsłonięty. Bardzo niemiłe podczas współdzielenia sesji tmuksa gdy się zagapimy i zostawimy wpięty pendrive. 

linux bezpieczeństwo porady

Komentarze

0 nowych
dragonn   11 #1 01.03.2011 20:04

Mam pytanie, czy to zadziała z np. slim-em? Chodzi mi to to że by w przypadku podpiętego pendrivera automatycznie mnie zalogowało.

Vifon   5 #2 01.03.2011 20:13

Nie wiem co to jest ten slim, ale chyba działa ze wszystkimi nośnikami wymiennymi. Mój kolega używa tego z kartą SD i wbudowanym w laptopa czytnikiem kart.

Nie zapomnij uruchomić autologowania.

dragonn   11 #3 01.03.2011 20:17

@Vifon slim to menadżer logowania :), Ale widzę że ma w zależnościach pam, będzie trzeba sprawdzić czy zadziała, tylko że dzisiaj nie mam czasu, jutro sprawdzę. A pomysł z kartą SD jest dobry, mam gdzieś niepotrzebną 16M od aparatu :).

Vifon   5 #4 01.03.2011 22:45

@dragonn
Fail z mojej strony.
Myślę, że manager logowania nie ma większego znaczenia. Jeśli SLiM korzysta z pama, tak jak mówisz, to nie powinno być problemów.

Airborn   8 #5 01.03.2011 23:45

Z podobnych opcji jest jeszcze BlueProximity - wiąże komputer z dowolnym urządzeniem bluetooth. Zbliżenie na dowolną odległość odblokowuje ekran, oddalenie zablokowuje. Sensownie działa nawet z donglami USB, wyjęcie dongla przy zablokowanym ekranie nie odblokowuje ekranu. Komputer oczywiście można odblokować również hasłem w przypadku np. wyładowania telefonu.

Vifon   5 #6 01.03.2011 23:56

@Airborn
Ciekawe. Gdyby nie beznadziejny akumulator w moim telefonie, to bym chętnie wypróbował.

BenderBendingRodriguez   6 #7 02.03.2011 03:33

Ooooo stary, niezły wpis, zawsze się zastanawiałem czy takie coś da się zrobić :) Juz instaluję pamusb i kombinuję z kdm :)

sirion   2 #8 02.03.2011 12:04

Ten blueproximity to genialny pomysł. Tylko, że nie chce mi działać tak jak trzeba. Już od ponad godziny przyjmuję połączenie od komputera i nie widać końca.

G.Gn7Ex   5 #9 02.03.2011 13:05

"Nawet jeśli ktoś podrobi naszego pendrive'a i skopiuje ten plik, szybko stanie się on nieaktualny, a podróba bezużyteczna."

Gorzej, jeśli ktoś ukradnie bądź "pożyczy" oryginalnego pendrive'a i użyje go u Ciebie w komputerze...

Vifon   5 #10 02.03.2011 14:47

@G.Gn7Ex
Wtedy można to wyłączyć. Problem byłby gdyby ktoś ukradł i komputer, i pendrive'a. Dlatego ja je trzymam oddzielnie.

dragonn   11 #11 02.03.2011 21:04

Całość ma na daną chwilę jedną wadę, niestety wymaga hal-a do działania :/, większość dystrybucji już dawno przeszła na udisk, który jest dużo lepszy, bo nie opóźnia startu systemu jak hal. Zobaczmy co wymyślę, chyba napiszę swój skrypt do tego, na pewno nie będzie taki bezpieczny (z drugiej strony jeżeli tylko ja to zastosuje, to może być nawet lepsze niż pam, bo będzie nietypowe :) ).