Nächste: Dynamisches DNS als mcron-Auftrag, Vorige: Die Image-Schnittstelle von Guix System, Nach oben: Systemkonfiguration [Inhalt][Index]
Indem Sie Sicherheitsschlüssel einsetzen, können Sie sich besser absichern. Diese stellen eine zweite Bestätigung Ihrer Identität dar, die nicht leicht gestohlen oder kopiert werden kann, zumindest wenn der Angreifer nur Fernzugriff ergattert hat. Sicherheitsschlüssel sind etwas, was Sie haben, dagegen ist ein Geheimnis (eine Passphrase) etwas, was Sie wissen. So sinkt das Risiko, dass sich jemand Fremdes als Sie ausgibt.
Mit der nachfolgenden Beispielkonfiguration wird vorgeführt, wie Sie mit kleinstem Konfigurationsaufwand auf Ihrem Guix System einen Yubico-Sicherheitsschlüssel einsetzen können. Wir hoffen, die Konfiguration klappt auch bei anderen Sicherheitsschlüsseln, mit geringen Anpassungen.
Dazu müssen Sie die udev-Regeln des Systems um auf Ihren
Sicherheitsschlüssel abgestimmte Regeln erweitern. Im Folgenden wird
gezeigt, wie Sie Ihre udev-Regeln um die Regeldatei
lib/udev/rules.d/70-u2f.rules aus dem libfido2-Paket im Modul
(gnu packages security-token) erweitern und Ihren Benutzer zur
zugehörigen Gruppe ‘"plugdev"’ hinzufügen:
(use-package-modules … security-token …) … (operating-system … (users (cons* (user-account (name "ihr-benutzer") (group "users") (supplementary-groups '("wheel" "netdev" "audio" "video" "plugdev")) ;<- Systemgruppe hinzufügen (home-directory "/home/ihr-benutzer")) %base-user-accounts)) … (services (cons* … (udev-rules-service 'fido2 libfido2 #:groups '("plugdev")))))
Rekonfigurieren Sie Ihr System. Danach melden Sie sich neu an zu einer grafischen Sitzung, damit sich die neue Gruppe Ihres Benutzers auswirken kann. Sie können jetzt prüfen, ob Ihr Sicherheitsschlüssel einsatzbereit ist, indem Sie dies starten:
guix shell ungoogled-chromium -- chromium chrome://settings/securityKeys
und nachsehen, ob Sie den Sicherheitsschlüssel mit dem Menüeintrag „Sicherheitsschlüssel zurücksetzen“ neu machen können. Wenn es klappt, gratulieren wir zu Ihrem nutzungsbereiten Sicherheitsschlüssel, mit dem Sie nun ihn unterstützende Anwendungen für Zwei-Faktor-Authentisierung (2FA) einrichten können.
Wenn Sie einen Yubikey-Sicherheitsschlüssel verwenden und es Sie stört, dass
er unsinnige OTP-Codes erzeugt, wenn Sie ihn unabsichtlich anrühren (und Sie
damit am Ende den ‘#guix’-Kanal zumüllen, während Sie mit Ihrem
Lieblings-IRC-Client an der Diskussion teilnehmen!), dann deaktivieren Sie
es einfach mit dem folgenden ykman-Befehl:
guix shell python-yubikey-manager -- ykman config usb --force --disable OTP
Alternativ können Sie auch die Oberfläche mit dem ykman-gui-Befehl
aus dem Paket yubikey-manager-qt starten und entweder gleich die
ganze OTP-Anwendung für die USB-Schnittstelle abschalten oder, unter
‘Applications -> OTP’, die Konfiguration für Slot 1 löschen, die bei
der Yubico-OTP-Anwendung voreingestellt ist.
Die Anwendung KeePassXC zur Verwaltung von Passwörtern kann mit Yubikeys zusammenarbeiten, aber erst, wenn die udev-Regeln dafür auf Ihrem Guix System vorliegen und nachdem Sie passende Einstellungen in der Yubico-OTP-Anwendung zum Schlüssel vorgenommen haben.
Die erforderliche udev-Regeldatei liegt im Paket
yubikey-personalization und kann hiermit installiert werden:
(use-package-modules … security-token …) … (operating-system … (services (cons* … (udev-rules-service 'yubikey yubikey-personalization))))
Sobald Sie Ihr System rekonfiguriert haben (und Ihren Yubikey neu verbunden haben), sollten Sie anschließend die OTP-Challenge-Response-Anwendung für Ihren Yubikey auf dessen Slot 2 einrichten, die von KeePassXC benutzt wird. Das ist problemlos möglich mit dem grafischen Konfigurationsprogramm Yubikey Manager, das Sie so aufrufen können:
guix shell yubikey-manager-qt -- ykman-gui
Stellen Sie zunächst sicher, dass ‘OTP’ im Karteireiter ‘Interfaces’ aktiviert ist. Begeben Sie sich dann zu ‘Applications -> OTP’ und klicken Sie auf den Knopf ‘Configure’ im Abschnitt ‘Long Touch (Slot 2)’. Wählen Sie ‘Challenge-response’ und geben Sie einen geheimen Schlüssel entweder ein oder lassen Sie ihn erzeugen. Anschließend klicken Sie auf den Knopf ‘Finish’. Wenn Sie noch einen zweiten Yubikey haben, den Sie als Ersatz einsetzen können möchten, konfigurieren Sie ihn auf die gleiche Weise mit demselben geheimen Schlüssel.
Jetzt sollte Ihr Yubikey von KeePassXC erkannt werden. Er kann für eine Datenbank hinzugefügt werden, indem Sie in KeePassXC im Menü ‘Datenbank -> Datenbank-Sicherheit...’ öffnen und dort auf den Knopf ‘Zusätzlichen Schutz hinzufügen ...’ klicken, dann auf ‘Challenge-Response hinzufügen’ klicken und den Sicherheitsschlüssel aus der Auswahlliste wählen und den ‘OK’-Knopf anklicken, um die Einrichtung abzuschließen.
Nächste: Dynamisches DNS als mcron-Auftrag, Vorige: Die Image-Schnittstelle von Guix System, Nach oben: Systemkonfiguration [Inhalt][Index]