Nächste: , Vorige: , Nach oben: Systemkonfiguration   [Inhalt][Index]


3.4 Sicherheitsschlüssel verwenden

Indem Sie Sicherheitsschlüssel einsetzen, können Sie sich besser absichern. Diese stellen eine zweite Bestätigung Ihrer Identität dar, die nicht leicht gestohlen oder kopiert werden kann, zumindest wenn der Angreifer nur Fernzugriff ergattert hat. Sicherheitsschlüssel sind etwas, was Sie haben, dagegen ist ein Geheimnis (eine Passphrase) etwas, was Sie wissen. So sinkt das Risiko, dass sich jemand Fremdes als Sie ausgibt.

Mit der nachfolgenden Beispielkonfiguration wird vorgeführt, wie Sie mit kleinstem Konfigurationsaufwand auf Ihrem Guix System einen Yubico-Sicherheitsschlüssel einsetzen können. Wir hoffen, die Konfiguration klappt auch bei anderen Sicherheitsschlüsseln, mit geringen Anpassungen.

3.4.1 Einrichten einer Zwei-Faktor-Authentisierung (2FA)

Dazu müssen Sie die udev-Regeln des Systems um auf Ihren Sicherheitsschlüssel abgestimmte Regeln erweitern. Im Folgenden wird gezeigt, wie Sie Ihre udev-Regeln um die Regeldatei lib/udev/rules.d/70-u2f.rules aus dem libfido2-Paket im Modul (gnu packages security-token) erweitern und Ihren Benutzer zur zugehörigen Gruppe ‘"plugdev"’ hinzufügen:

(use-package-modules  security-token )

(operating-system
 
 (users (cons* (user-account
               (name "ihr-benutzer")
               (group "users")
               (supplementary-groups
		'("wheel" "netdev" "audio" "video"
                  "plugdev"))           ;<- Systemgruppe hinzufügen
               (home-directory "/home/ihr-benutzer"))
              %base-user-accounts))
 
 (services
  (cons*
   
   (udev-rules-service 'fido2 libfido2 #:groups '("plugdev")))))

Rekonfigurieren Sie Ihr System. Danach melden Sie sich neu an zu einer grafischen Sitzung, damit sich die neue Gruppe Ihres Benutzers auswirken kann. Sie können jetzt prüfen, ob Ihr Sicherheitsschlüssel einsatzbereit ist, indem Sie dies starten:

guix shell ungoogled-chromium -- chromium chrome://settings/securityKeys

und nachsehen, ob Sie den Sicherheitsschlüssel mit dem Menüeintrag „Sicherheitsschlüssel zurücksetzen“ neu machen können. Wenn es klappt, gratulieren wir zu Ihrem nutzungsbereiten Sicherheitsschlüssel, mit dem Sie nun ihn unterstützende Anwendungen für Zwei-Faktor-Authentisierung (2FA) einrichten können.

3.4.2 Abschalten der OTP-Code-Erzeugung beim Yubikey

Wenn Sie einen Yubikey-Sicherheitsschlüssel verwenden und es Sie stört, dass er unsinnige OTP-Codes erzeugt, wenn Sie ihn unabsichtlich anrühren (und Sie damit am Ende den ‘#guix’-Kanal zumüllen, während Sie mit Ihrem Lieblings-IRC-Client an der Diskussion teilnehmen!), dann deaktivieren Sie es einfach mit dem folgenden ykman-Befehl:

guix shell python-yubikey-manager -- ykman config usb --force --disable OTP

Alternativ können Sie auch die Oberfläche mit dem ykman-gui-Befehl aus dem Paket yubikey-manager-qt starten und entweder gleich die ganze OTP-Anwendung für die USB-Schnittstelle abschalten oder, unter ‘Applications -> OTP’, die Konfiguration für Slot 1 löschen, die bei der Yubico-OTP-Anwendung voreingestellt ist.

3.4.3 Yubikey verlangen, um eine KeePassXC-Datenbank zu entsperren

Die Anwendung KeePassXC zur Verwaltung von Passwörtern kann mit Yubikeys zusammenarbeiten, aber erst, wenn die udev-Regeln dafür auf Ihrem Guix System vorliegen und nachdem Sie passende Einstellungen in der Yubico-OTP-Anwendung zum Schlüssel vorgenommen haben.

Die erforderliche udev-Regeldatei liegt im Paket yubikey-personalization und kann hiermit installiert werden:

(use-package-modules  security-token )

(operating-system
 
 (services
  (cons*
   
   (udev-rules-service 'yubikey yubikey-personalization))))

Sobald Sie Ihr System rekonfiguriert haben (und Ihren Yubikey neu verbunden haben), sollten Sie anschließend die OTP-Challenge-Response-Anwendung für Ihren Yubikey auf dessen Slot 2 einrichten, die von KeePassXC benutzt wird. Das ist problemlos möglich mit dem grafischen Konfigurationsprogramm Yubikey Manager, das Sie so aufrufen können:

guix shell yubikey-manager-qt -- ykman-gui

Stellen Sie zunächst sicher, dass ‘OTP’ im Karteireiter ‘Interfaces’ aktiviert ist. Begeben Sie sich dann zu ‘Applications -> OTP’ und klicken Sie auf den Knopf ‘Configure’ im Abschnitt ‘Long Touch (Slot 2)’. Wählen Sie ‘Challenge-response’ und geben Sie einen geheimen Schlüssel entweder ein oder lassen Sie ihn erzeugen. Anschließend klicken Sie auf den Knopf ‘Finish’. Wenn Sie noch einen zweiten Yubikey haben, den Sie als Ersatz einsetzen können möchten, konfigurieren Sie ihn auf die gleiche Weise mit demselben geheimen Schlüssel.

Jetzt sollte Ihr Yubikey von KeePassXC erkannt werden. Er kann für eine Datenbank hinzugefügt werden, indem Sie in KeePassXC im Menü ‘Datenbank -> Datenbank-Sicherheit...’ öffnen und dort auf den Knopf ‘Zusätzlichen Schutz hinzufügen ...’ klicken, dann auf ‘Challenge-Response hinzufügen’ klicken und den Sicherheitsschlüssel aus der Auswahlliste wählen und den ‘OK’-Knopf anklicken, um die Einrichtung abzuschließen.


Nächste: Dynamisches DNS als mcron-Auftrag, Vorige: Die Image-Schnittstelle von Guix System, Nach oben: Systemkonfiguration   [Inhalt][Index]