Suivant: Tâche mcron pour le DNS dynamique, Précédent: L’API de création d’images du système Guix, Monter: Configuration du système [Table des matières][Index]
L’utilisation de clés de sécurité peut améliorer votre sécurité en fournissant une seconde source d’authentification qui ne peut pas être facilement volée ni copiée, au moins pour les adversaires à distance (quelque chose que vous possédez) de votre secret principal (une phrase de passe — quelque chose que vous connaissez), ce qui réduit les risques de vol d’identité.
L’exemple de configuration détaillée plus bas montre la configuration minimale dont vous avez besoin sur votre système Guix pour permettre l’utilisation d’une clé de sécurité Yubico. Nous espérons que la configuration puisse être utile pour d’autres clés de sécurité aussi, avec quelques ajustements.
Pour être utilisable, les règles udev du systèmes doivent être étendues avec
des règles spécifiques à la clé. Ce qui suit montre comment étendre vos
règles udev avec le fichier de règles lib/udev/rules.d/70-u2f.rules
fournit par le paquet libfido2 du module (gnu packages
security-token) et ajouter votre utilisateur au groupe ‘"plugdev"’
qu’il utilise :
(use-package-modules ... security-token ...) ... (operating-system ... (users (cons* (user-account (name "your-user") (group "users") (supplementary-groups '("wheel" "netdev" "audio" "video" "plugdev")) ;<- added system group (home-directory "/home/your-user")) %base-user-accounts)) ... (services (cons* ... (udev-rules-service 'fido2 libfido2 #:groups '("plugdev")))))
Après la reconfiguration de votre système et vous être authentifié dans votre session graphique pour que le nouveau groupe prenne effet pour votre utilisateur, vous pouvez vérifier que la clé est utilisable en exécutant :
guix shell ungoogled-chromium -- chromium chrome://settings/securityKeys
et en validant que la clé de sécurité peut être remise à zéro via le menu « réinitialiser votre clé de sécurité ». Si cela fonctionne, bravo, votre clé de sécurité est prête à être utilisée avec les applications qui prennent en charge l’authentification à double facteur (2FA).
Si vous utilisez une clé de sécurité Yubikey et que vous n’aimez pas les
mauvais codes OTP qu’il génère lorsque vous touchez la clé par accident
(p. ex. en vous faisant passer pour un spammer dans le canal ‘#guix’
alors que vous discutez depuis votre client IRC préféré !), vous pouvez les
désactiver avec la commande ykman suivante :
guix shell python-yubikey-manager -- ykman config usb --force --disable OTP
Autrement, vous pouvez utiliser la commande ykman-gui fournie par
le paquet yubikey-manager-qt et soit désactiver complètement
l’application ‘OTP’ pour l’interface USB ou, depuis la vue
‘Applications -> OTP’, supprimer la configuration du slot 1, qui est
pré-configuré avec l’application Yubico OTP.
Le gestionnaire de mots de passe KeePassXC prend en charge les Yubikeys, mais cela nécessite d’installer des règles udev pour votre système Guix et de configurer l’application OTP Yubico sur la clé.
Le fichier de règles udev nécessaire provient du paquet
yubikey-personalization et peut être installé de cette manière :
(use-package-modules ... security-token ...) ... (operating-system ... (services (cons* ... (udev-rules-service 'yubikey yubikey-personalization))))
Après avoir reconfiguré votre système (et avoir reconnecté votre Yubikey), vous voudrez ensuite configurer l’application de défi/réponse OTP do votre Yubikey sur le slot 2, qui est utilisé par KeePassXC. C’est facile à faire via l’outil de configuration graphique Yubikey Manager, qui peut s’invoquer de cette manière :
guix shell yubikey-manager-qt -- ykman-gui
Tout d’abord, assurez-vous d’avoir activé ‘OTP’ dans l’onglet ‘Interfaces’, puis rendez-vous dans ‘Applications -> OTP’ et cliquez sur le bouton ‘Configure’ sous la section ‘Long Touch (Slot 2)’. Choisissez ‘Challenge-response’, saisissez ou générez une clé secrète, puis cliquez sur le bouton ‘Finish’. Si vous avez une seconde Yubikey que vous voulez utiliser en réserve, vous devriez la configurer de la même manière avec la même clé secrète.
Votre Yubikey devrait maintenant être détectée par KeePassXC. Elle peut être ajoutée à la base de données en se rendant dans le menu ‘Base de données -> Sécurité de la base de données...’ de KeePassXC, puis en cliquant sur le bouton ‘Ajouter une autre protection...’ puis ‘Ajouter une question-réponse’, en choisissant la clé de sécurité dans le menu déroulant et en cliquant sur le bouton ‘OK’ pour terminer la configuration.
Suivant: Tâche mcron pour le DNS dynamique, Précédent: L’API de création d’images du système Guix, Monter: Configuration du système [Table des matières][Index]