yubikey-luks, 硬盘加密的两个因素

分享于 

4分钟阅读

GitHub

  繁體 雙語
Two factor authentication for harddisk encryption
  • 源代码名称:yubikey-luks
  • 源代码网址:http://www.github.com/cornelinux/yubikey-luks
  • yubikey-luks源代码文档
  • yubikey-luks源代码下载
  • Git URL:
    git://www.github.com/cornelinux/yubikey-luks.git
    Git Clone代码到本地:
    git clone http://www.github.com/cornelinux/yubikey-luks
    Subversion代码到本地:
    $ svn co --depth empty http://www.github.com/cornelinux/yubikey-luks
    Checked out revision 1.
    $ cd repo
    $ svn up trunk
    
    用于LUKS的 Yubikey

    这个软件包受到了启发,并基于 https://github.com/tfheen/ykfde

    这使你可以将yubikey用作LUKS的2FA。 输入的密码将作为yubikey的质询

    keyscript允许使用密码和Yubikey引导计算机,或者使用任何密钥插槽中的正常密码。

    lukssuspend/luksresume集成是鼓舞人心的,基于 https://github.com/zhongfu/ubuntu-luks-suspend

    初始化 Yubikey

    初始化Yubikey以在插槽 2中进行质询响应

    
    ykpersonalize -2 -ochal-resp -ochal-hmac -ohmac-lt64 -oserial-api-visible
    
    
    
    

    安装软件包

    生成软件包:

     
    make builddeb
    
    
    
     

    安装软件包:

    
    dpkg -i DEBUILD/yubikey-luks_0.?-1_all.deb
    
    
    
    

    将Yubikey分配给LUKS插槽

    你现在可以使用工具将Yubikey分配给插槽

    
    yubikey-luks-enroll
    
    
    
    

    技术上讲,这是通过将由 Yubikey ( 2nd 因子拥有) 创建的密码( 1st 因子知识)的响应写入到密钥槽。

    接受- 如果攻击者能够播放这个响应,看起来如下: bd438575f4e8df965c80363f8aa6fe1debbe9ea9可以作为普通密码使用。

    如果在文件/etc/ykluks.cfg 中设置CONCATENATE=1选项,则密码和Yubikey响应将被捆绑在一起并写入到密钥槽中: passwordbd438575f4e8df965c80363f8aa6fe1debbe9ea9

    如果在文件/etc/ykluks.cfg 中设置HASH=1选项,则在使用作为yubikey挑战之前,你的密码将被哈希算法散列: printf密码| sha256sum | {print $1 }'5e884898 da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

    更改欢迎文本

    如果要更改欢迎文本 a.k.,请执行下列操作:。 你可以编辑文件/etc/ykluks.cfg.的密码提示提示

    更改这里文件后,你需要运行

    更新 initramfs -u

    这样改变就会转移到 initramfs。

    启用yubikey-luks-suspend模块

    你可以启用yubikey-luks-suspend模块,允许自动锁定加密LUKS容器并通过使用 luksSuspend。luksResume命令在恢复时从内存中清除密钥。

    
     systemctl enable yubikey-luks-suspend.service
    
    
    
    

    使用 yubikey LUKS打开 打开LUKS容器 protected

    运行系统中的yubikey LUKS时,可以打开LUKS容器 protected

    
     yubikey-luks-open
    
    
    
    

    管理多个Yubikeys和机器

    可以管理多个Yubikeys和机器。 你需要使用privacyIDEA来管理Yubikeys和privacyIDEA管理客户端,以将Yubikey响应推送到槽。

    请参见 https://github.com/privacyidea/privacyideaadmhttps://github.com/privacyidea/privacyidea。


    auth  HAR  encrypt  FACT  加密  双重认证  
    相关文章