Next: mcron úloha pre dynamický DNS, Previous: API pre vytváranie obrazov systému Guix, Up: Nastavenie systému [Contents][Index]
Používanie bezpečnostných kľúčov môže zvýšiť vašu bezpečnosť tým, že hlavnému predmetu utajenia (heslo - niečo, čo poznáte) poskytne podružný zdroj overenia, ktorý nemožno jednoducho ukradnúť alebo skopírovať (niečo, čo vlastníte), aspoň v prípade vzdialených protivníkov, čo znižuje riziko krádeže totožnosti.
Nižšie uvedený podrobný príklad znázorňuje najstručnejšie možné nastavenie potrebné pre umožnenie používania bezpečnostného kľúča Yubico v systéme Guix. Dúfame, že toto nastavenie bude, s menšími úpravami, možné použiť aj pre iné bezpečnostné kľúče.
Aby sa kľúč dal použiť, je nutné rozšíriť udev pravidlá systému o pravidlá
príznačné pre daný kľúč. Nasledovný postup popisuje kroky pre rozšírenie
udev pravidiel prostredníctvom súboru udev pravidiel
lib/udev/rules.d/70-u2f.rules poskytovaného balíkom libfido2 z
modulu (gnu packages security-token) a pre pridanie vášho
používateľského účtu do skupiny ‘"plugdev"’, ktorú využíva:
(use-package-modules ... security-token ...) ... (operating-system ... (users (cons* (user-account (name "vas-pouzivatelsky-ucet") (group "users") (supplementary-groups '("wheel" "netdev" "audio" "video" "plugdev")) ;<- pridaná systémová skupina (home-directory "/home/vas-pouzivatelsky-ucet")) %base-user-accounts)) ... (services (cons* ... (udev-rules-service 'fido2 libfido2 #:groups '("plugdev")))))
Znovunastavením systému a opätovným prihlásením do vášho grafického sedenia uplatníte členstvo vášho používateľského účtu v novej skupine. Potom môžete overiť použiteľnosť vášho kľúča spustením:
guix shell ungoogled-chromium -- chromium chrome://settings/securityKeys
a potvrdením, že bezpečnostný kľúč sa dá vynulovať v ponuke „Vynulovať váš bezpečnostný kľúč“. Ak to funguje, blahoželáme! Váš bezpečnostný kľúč je pripravený na použitie v aplikáciách podporujúcich dvojstupňové overenie (2FA).
Ak používate bezpečnostný kľúč Yubikey a otravujú vás nesprávne OTP kódy,
ktoré vytvára, keď nedopatrením kľúč zmeníte (napr. z vás spraví
odosielateľa nevyžiadaných správ v kanáli ‘#guix’ zatiaľčo sa zhovárate
vo vašom obľúbenom IRC klientovi!), môžete to vypnúť nasledovným
ykman príkazom:
guix shell python-yubikey-manager -- ykman config usb --force --disable OTP
Ďalšou možnosťou je použiť príkaz ykman-gui z balíka
yubikey-manager-qt a buď úplne vypnúť ‘OTP’ aplikáciu pre
rozhranie USB, alebo z ‘Applications -> OTP’ vymazať nastavenie zásuvky
1, prednastavenej aplikáciou Yubico OTP.
Správca hesiel KeePassXC podporuje kľúče Yubikeys, ale táto podpora si vyžaduje inštaláciu udev pravidiel pre váš systém Guix a nastavenie aplikácie Yubico OTP na vybraný kľúč.
Potrebný súbor udev pravidiel pochádza z balíka
yubikey-personalization a možno ho nainštalovať nasledovne:
(use-package-modules ... security-token ...) ... (operating-system ... (services (cons* ... (udev-rules-service 'yubikey yubikey-personalization))))
After reconfiguring your system (and reconnecting your Yubikey), you’ll then want to configure the OTP challenge/response application of your Yubikey on its slot 2, which is what KeePassXC uses. It’s easy to do so via the Yubikey Manager graphical configuration tool, which can be invoked with:
guix shell yubikey-manager-qt -- ykman-gui
First, ensure ‘OTP’ is enabled under the ‘Interfaces’ tab, then navigate to ‘Applications -> OTP’, and click the ‘Configure’ button under the ‘Long Touch (Slot 2)’ section. Select ‘Challenge-response’, input or generate a secret key, and click the ‘Finish’ button. If you have a second Yubikey you’d like to use as a backup, you should configure it the same way, using the same secret key.
Your Yubikey should now be detected by KeePassXC. It can be added to a database by navigating to KeePassXC’s ‘Database -> Database Security...’ menu, then clicking the ‘Add additional protection...’ button, then ‘Add Challenge-Response’, selecting the security key from the drop-down menu and clicking the ‘OK’ button to complete the setup.
Next: mcron úloha pre dynamický DNS, Previous: API pre vytváranie obrazov systému Guix, Up: Nastavenie systému [Contents][Index]