Brukerdokumentasjon.

Du kan bruke YubiKey til a forbedre Qubes brukerautentisering, for eksempel for a redusere risikoen for snooping passordet. Dette kan ogsa oke sikkerheten litt nar du har USB-tastatur.

Der (minst) to mulige konfigurasjoner: bruker OTP-modus og bruker utfordrings-responsmodus.

Dette kan konfigureres ved hjelp av app-linux-yubikey-pakken. Denne pakken stotter ikke deling av samme nokkelspor med andre programmer (det vil nekte ytterligere godkjenninger hvis du prover).

I motsetning til instruksjon der, er det for oyeblikket ingen bin re pakker i Qubes repository, og du ma kompilere det selv. Dette kan endres i fremtiden.

Utfordring-reponse modus.

I denne modusen vil YubiKey generere respons basert pa hemmelig nokkel og tilfeldig utfordring (i stedet for teller). Dette betyr at det ikke er mulig a generere respons pa forhand selv nar noen far tilgang til din YubiKey. Dette gjor det rimelig trygt a bruke samme YubiKey for andre tjenester (ogsa i utfordringsmodus).

Samme som i OTP-tilfelle ma du konfigurere YubiKey, velg eget passord (annet enn ditt passord!) Og bruk konfigurasjonen.

For a bruke denne modusen trenger du:

Konfigurer din YubiKey for utfordrings-respons HMAC-SHA1-modus, for eksempel etter denne oppl ringen Installer ykpers-pakken i mal der USB VM er basert.

Opprett / usr / local / bin / yubikey-auth script i dom0:

Rediger /etc/pam.d/xscreensaver (eller passende fil hvis du bruker et annet skjermlaserprogram). Legg til denne linjen i begynnelsen:

Erstatt AESKEY med hex-kodet nokkel konfigurert i forste trinn, og erstatt deretter PASSWORD-HASH med SHA1 hash for ditt YubiKey-koblet passord (annet enn ditt standard Qubes-passord). Du kan beregne det ved hjelp av denne kommandoen:

Nar du vil lase opp skjermen din …

1) Koble YubiKey til USB-spor. 2) Skriv inn passord knyttet til YubiKey. 3) Trykk pa Enter. 4) Hvis du har konfigurert det, vil YubiKey be om bekreftelse ved a trykke pa knappen pa den (den blinker).

Nar alt er greit, blir skjermen ulast.

I alle fall kan du fortsatt bruke innloggingspassordet ditt, men gjor det pa et sikkert sted der ingen kan snoke passordet ditt.

Laser skjermen nar YubiKey er fjernet.

Du kan sette opp systemet for a automatisk lase skjermen nar du kobler fra YubiKey. Dette krever at du oppretter enkel qrexec-tjeneste som vil avslore muligheten til a lase skjermen til USB VM, og deretter legge til udev-krok for a faktisk ringe til den tjenesten.

Forst konfigurerer du qrexec-tjenesten. Lag /etc/qubes-rpc/custom.LockScreen med enkel kommando for a lase skjermen. I tilfelle xscreensaver (brukt i Xfce) ville det v re:

Tillat USB VM a ringe til den tjenesten. Forutsatt at den heter sys-usb, ville det kreve a opprette /etc/qubes-rpc/policy/custom.LockScreen med:

Lag udev-krok. Lagre den i / rw / config for a ha den vedvarende over VM, startes pa nytt. For eksempel navngi filen /rw/config/yubikey.rules. Skriv det enkeltlinje:

Sorg for at udev-kroken er plassert pa riktig sted etter at VM har startet pa nytt. Legg til /rw/config/rc.local:

Deretter gjor /rw/config/rc.local kjorbar.

For endringer som trer i kraft, ma du ringe dette skriptet manuelt for forste gang.

Hvis du bruker KDE, vil kommandoen (e) i forste trinn v re forskjellig: