A noter que le 2FA (exemple avec Yubikey OTP) devient totalement gratuit en passant par l’auto hébergement du serveur via le package (non officiel) bitwarden_rs.
Pour ton cas, faut look les paragraphes \(1, \)2, \(3, et \)4.1 et ça devrait le faire. Ca revient à toucher à la conf PAM du sudo uniquement, après avoir générer les clés U2F.
Clés U2F :
apt-get install pamu2fcfg libpam-u2f
mkdir -p ~/.config/Yubico
pamu2fcfg > ~/.config/Yubico/u2f_keys
appuyer sur le bouton de la Yubikey
optionnel, ajout d’une autre Yubikey : pamu2fcfg -n >> ~/.config/Yubico/u2f_keys
conf sudo :
vim /etc/pam.d/sudo
Rajouter en dessous de “@include common-auth:” la ligne :
auth required pam_u2f.so
Tu peux remplacer “required” par “sufficient” pour n’avoir besoin que de la Yubikey.
Pour avoir un login via yubikey intégral + pour sudo, il ne faut pas apporté de modif dans la conf PAM
“sudo” (ça risque de dysfonctionner), mais seulement dans la conf PAM
“common-auth”. De ce fait il y aura l’authent via Yubikey et ça s’étendra aussi pour le sudo.
Exemple de conf :
auth sufficient pam_u2f.so cue
Pour info “cue” sert à afficher un message lorsque une action sur la Yubikey est nécessaire/demandée.
Dernier détail… l’authent intégrale via la Yubikey nécessite de ne pas avoir un HOME chiffré, puisque le mécanisme nécessite de lire le fichier “~/.config/Yubico/u2f_keys”. De ce fait, en cas de HOME chiffré, ça ne fonctionnera qu’une fois la session déjà dévérouillé une fois, c’est à dire que ça ne fonctionnera pas à l’ authentification lors du prochain démarrage du PC.
Amuse-toi bien ! " />
Le
01/04/2019 à
11h
35
Ca marche, merci pour lex explications !
Yep j’ai vu qu’il y avait 2 slots, j’ai du écrire sur le second il me semble pour pouvoir faire ce que je voulais sur Nunux. Mais je savais pas que ça se traduisait par une différence d’appuie sur le bouton ? Je ne fais que des appuis courts perso. Après, je suis encore mal renseigné, je manque de temps pour tout voir.
Le
01/04/2019 à
08h
08
Ah bah, pour ce genre de techno, vaut mieux en commander deux et les configurer par paire. ;)
Le
29/03/2019 à
14h
43
Oh ça peut être intéressant ça ! Genre branchement de la yubikey démarre la session VPN et te permet donc de t’authentifier via un challenge distant ? # paranoid :)
Pour info j’ai oublié d’autres cas d’usages que j’ai déjà implémenté (toujours sur Nunux) :
appel de la Yubikey en cas d’usage de comptes à privilèges (dans mon cas, appel sudo) -> nécessite d’appuyer sur le bouton. De ce fait, aucun process malveillant peut appeler sudo sans mon autorisation.
ajout de la Yubikey en 2FA pour déchiffrer le disque (utilisation de LUKS dans mon cas). Sans laYubikey, impossible de déchiffrer le disque et donc de démarrer l’OS.
Voilà je pense que c’est tout :)
Le
28/03/2019 à
14h
44
Le logout une fois la Yubikey retirée se fait sans soucis en tout cas…. du moins, sur Linux :P
/MyLife J’ai configuré plutôt le lockscreen (vérouillage) que le logout
(déconnexion) : ça reste plus pratique lorsque je veux aller faire mes besoins, ou partir déjeuner… et à la fois ça reste plus secure car j’ai toujours besoin de la Yubikey pour travailler.
Autre usage que j’utilise dans le cas du débranchement de la Yubikey, en plus du lockscreen : désactiver la possibilité de changer de tty (Ctrl + Alt + F1 par exemple).
En effet il peut arriver d’avoir une session ouverte sur un autre TTY, qu’on a oublié… et donc on se croit à l’abris, avec la déconnexion ou le vérouillage sur l’interface graphique (KDE / Gnome / Autre), sauf que non !
La Yubikey donne vraiment des usages intéressants en matière de sécurité, qui va au-delà de l’authentification pure et simple d’une session.
D’ailleurs, si vous avez d’autres cas d’usage de ce type, je suis preneur… " />
Exact, des petites prouesses ont eu lieu côté jeu sur Linux, avec Proton by Steam (a.k.a. Steam Play). L’inconvénient est que l’on reste cantonné aux Jeux sur Steam. Des jeux fonctionnent très bien, d’autres il faut bidouiller, et pour d’autres ce n’est pas encore possible.
Sinon, mis à part Steam, et en complément d’informations, il y a Wine avec le tout aussi nouveau DXVK qui, en remplaçant quelques dll, permet d’avoir une compatibilité DirectX11. L’idée n’est pas d’installer DirectX sur Linux, mais de traduire les instructions vers Vulkan.
Certaines personnes sont ainsi arrivé à faire tourner des jeux AAA très récents…
Ainsi avec Proton et DXVK, certains jeux fonctionnent mieux avec l’un qu’avec l’autre, il faut tester.
A noter que pour DXVK, bien souvent les démos des testeurs ont été fait sur du Arch Linux… ce qui n’est pas une distribution forcément à la portée de tout le monde, et qui montre de ce fait que c’est moins simple à mettre en place qu’un Steam où il n’y a qu’à activer l’option Steam Play.
7 commentaires
BitWarden : un gestionnaire de mots de passe qui se démarque de la concurrence
23/02/2021
Le 24/02/2021 à 16h 05
A noter que le 2FA (exemple avec Yubikey OTP) devient totalement gratuit en passant par l’auto hébergement du serveur via le package (non officiel) bitwarden_rs.
Yubico Login for Windows : on a testé la connexion à Windows avec une Yubikey
28/03/2019
Le 03/04/2019 à 10h 13
Oui, si tu veux juste pour le sudo, sans utiliser la Yubikey pour le login, tu as ce lien qui devrait faire l’affaire :https://support.yubico.com/support/solutions/articles/15000011356-ubuntu-linux-l…
Pour ton cas, faut look les paragraphes \(1, \)2, \(3, et \)4.1 et ça devrait le faire. Ca revient à toucher à la conf PAM du sudo uniquement, après avoir générer les clés U2F.
Clés U2F :
apt-get install pamu2fcfg libpam-u2f
mkdir -p ~/.config/Yubico
pamu2fcfg > ~/.config/Yubico/u2f_keys
appuyer sur le bouton de la Yubikey
optionnel, ajout d’une autre Yubikey : pamu2fcfg -n >> ~/.config/Yubico/u2f_keys
conf sudo :
vim /etc/pam.d/sudo
Rajouter en dessous de “@include common-auth:” la ligne :
auth required pam_u2f.so
Tu peux remplacer “required” par “sufficient” pour n’avoir besoin que de la Yubikey.
Pour avoir un login via yubikey intégral + pour sudo, il ne faut pas apporté de modif dans la conf PAM
“sudo” (ça risque de dysfonctionner), mais seulement dans la conf PAM
“common-auth”. De ce fait il y aura l’authent via Yubikey et ça s’étendra aussi pour le sudo.
Exemple de conf :
Pour info “cue” sert à afficher un message lorsque une action sur la Yubikey est nécessaire/demandée.
Dernier détail… l’authent intégrale via la Yubikey nécessite de ne pas avoir un HOME chiffré, puisque le mécanisme nécessite de lire le fichier “~/.config/Yubico/u2f_keys”. De ce fait, en cas de HOME chiffré, ça ne fonctionnera qu’une fois la session déjà dévérouillé une fois, c’est à dire que ça ne fonctionnera pas à l’ authentification lors du prochain démarrage du PC.
Amuse-toi bien ! " />
Le 01/04/2019 à 11h 35
Ca marche, merci pour lex explications !
Yep j’ai vu qu’il y avait 2 slots, j’ai du écrire sur le second il me semble pour pouvoir faire ce que je voulais sur Nunux. Mais je savais pas que ça se traduisait par une différence d’appuie sur le bouton ? Je ne fais que des appuis courts perso. Après, je suis encore mal renseigné, je manque de temps pour tout voir.
Le 01/04/2019 à 08h 08
Ah bah, pour ce genre de techno, vaut mieux en commander deux et les configurer par paire. ;)
Le 29/03/2019 à 14h 43
Oh ça peut être intéressant ça ! Genre branchement de la yubikey démarre la session VPN et te permet donc de t’authentifier via un challenge distant ? # paranoid :)
Pour info j’ai oublié d’autres cas d’usages que j’ai déjà implémenté (toujours sur Nunux) :
Voilà je pense que c’est tout :)
Le 28/03/2019 à 14h 44
Le logout une fois la Yubikey retirée se fait sans soucis en tout cas…. du moins, sur Linux :P
/MyLife J’ai configuré plutôt le lockscreen (vérouillage) que le logout
(déconnexion) : ça reste plus pratique lorsque je veux aller faire mes besoins, ou partir déjeuner… et à la fois ça reste plus secure car j’ai toujours besoin de la Yubikey pour travailler.
Autre usage que j’utilise dans le cas du débranchement de la Yubikey, en plus du lockscreen : désactiver la possibilité de changer de tty (Ctrl + Alt + F1 par exemple).
En effet il peut arriver d’avoir une session ouverte sur un autre TTY, qu’on a oublié… et donc on se croit à l’abris, avec la déconnexion ou le vérouillage sur l’interface graphique (KDE / Gnome / Autre), sauf que non !
La Yubikey donne vraiment des usages intéressants en matière de sécurité, qui va au-delà de l’authentification pure et simple d’une session.
D’ailleurs, si vous avez d’autres cas d’usage de ce type, je suis preneur… " />
Windows 10 : la qualité face au rythme élevé des mises à jour
19/11/2018
Le 21/11/2018 à 12h 35
Exact, des petites prouesses ont eu lieu côté jeu sur Linux, avec Proton by Steam (a.k.a. Steam Play). L’inconvénient est que l’on reste cantonné aux Jeux sur Steam. Des jeux fonctionnent très bien, d’autres il faut bidouiller, et pour d’autres ce n’est pas encore possible.
Sinon, mis à part Steam, et en complément d’informations, il y a Wine avec le tout aussi nouveau DXVK qui, en remplaçant quelques dll, permet d’avoir une compatibilité DirectX11. L’idée n’est pas d’installer DirectX sur Linux, mais de traduire les instructions vers Vulkan.
Certaines personnes sont ainsi arrivé à faire tourner des jeux AAA très récents…
Ainsi avec Proton et DXVK, certains jeux fonctionnent mieux avec l’un qu’avec l’autre, il faut tester.
A noter que pour DXVK, bien souvent les démos des testeurs ont été fait sur du Arch Linux… ce qui n’est pas une distribution forcément à la portée de tout le monde, et qui montre de ce fait que c’est moins simple à mettre en place qu’un Steam où il n’y a qu’à activer l’option Steam Play.