Yubikey for Unix

Fordi Bjens er sånn en kjernekar og skriver om Yubikey og Windows, tar jeg stafettpinnen videre og skrive et par stavelser om Yubikey og UNIX!
Lets face it… Vi i TIHLDE Drift er glad i Unix og Linux baserte systemer, så da er det på sin PLASS at også Yubikeyen skal få gjennomgå av oss også!

Som Bjens har også JEG en Yubikey. Den ser slik ut:

Systemene jeg bruker er OS X på desktopen og Ubuntu på serverne. Plunder og heft med Yubikey på denne comboen? Såklart ikke!
Unix – baserte systemer benytter seg av en autentiseringsmetode som kalles PAM. I pam.d – mappa di ligger regler for de forskjellige brukernivåene på maskinen din: Det er ei fil for sudo, su, common – brukere osv osv. Så hvor kommer Yubikeyen inn i dette? Jo med et par pakker kan denne PAMen få støtte for Yubikey – autentisering! Så la oss begynne:

På Ubuntu:

sudo add-apt-repository ppa:fredrikt/yubico  // Vi rapper koden hos hyggelige Fredrikt som har mekka git for oss
sudo apt-get update
sudo apt-get install libpam-yubico

PAM – mappa di har nå yubikey – støtte. Fett? Ikke helt enda:

Naviger deg til https://upgrade.yubico.com/getapikey/.

Her skal du skrive inn en epostadresse og en Yubikeynøkkel. Denne får du enkelt ved å sette inn brikken din og trykke på knappen.
Du får nå servert en klient – ID og en nøkkel. Ta vare på denne infoen, den skal vi bruke senere!
Nå skal vi lage en fil for hvilke brukere som skal ha lov til å bruke denne nøkkelen. For all enkelhets skyld legger vi denne i /etc/ mappa:
vim yubikey
legg så til brukernavn og de 12 (viktig! må være 12) første tegnene på yubikeyen din slik:
brukernavn:tegnene
denne fila skal vi bruke videre!

Nåviger så til /etc/pam.d/. Her skal du åpne en av filene, jeg velger meg sudo – fila. Denne fila bestemmer hvordan du skal autentisere deg for å få sudo – rettigheter.
Legg til følgende linje:
auth    required        pam_yubico.so authfile=/etc/yubikeys id= key=
ID og key er opplysningene du noterte deg tidligere.
Lagre fila di, logg ut og åpne en terminal. Når du nå kjører en sudo -s vil du bli spurt etter passord OG yubikey. Fett?? EKSTREMT!
Det er verdt å merke seg at dette er en online – verifisering, og dekker ikke challange – respons. Dette vil si: er du offline, no sudo for you.
Men kult LÆL.

På Mac OS X:

Her kreves det litt triksing. Du kan endten hente ned koden fra github selv på https://github.com/Yubico/yubico-pam, kompilere og så følge skrittene over,
eller gjøre som meg og installere Macports (du vil jo ha pakkehåntering på macen din lizm) og kjøre en sudo port install yubico-pam.
Så er det bare å følge samme skrittene som på Ubuntuen. Det funker rett og slett!

Yubikey for windowslogin

Heisann heisann, dette er Bjørn.

Jeg har en Yubikey. Den ser slik ut.

 

 
Yubikeyen genererer nøkkler/passord som jeg bruker til forskjellige innlogginger på interwebben. Så slipper jeg å lage de selv.
 

Yubikeyen kommer ferdigkonfigurert med en funksjon som genererer engangsnøkkler som kan brukes på tjenester som støtter yubikey. Lastpass for eksempel. Har man litt skills så kan man legge det til på egne tjenester også, men det har ikke jeg.

Yubico har nettop laget et lite program som legger yubikey beskyttelse på innloggingen i Windows, sammen med eksisterende sikkerhetstiltak.

Når jeg forsøker å logge inn på datamaskinen min må jeg fremdeles skrive passordet mitt, men om yubikeyen ikke står i usb porten kommer jeg ikke videre.

Først når jeg dytter den inn i usbporten vil windows la meg fortsette videre, selv om jeg skrev rett passord til å begynne med.

Fett!? plunder og heft??

Yubico har en nettside som forklarer i korte trekk hva greia går ut på. Hvordan bestille yubikey, og hvordan den må konfigureres. Videre er det en egen guide på yubicos sider som forklarer steg for steg hvordan man sikrer windowsbrukeren med nedlastbar programvare.

Guiden er veldig enkel og forklarer alt untatt dette punktet:

The YubiKey needs to be configured for HMAC-SHA1 challenge-response with variable input in slot 2.

Yubikeyen som bestilles nå er av versjon 2.2+ (sannsynligvis 2.23+) Uansett, så har den støtte for to forskjellige nøkkler. Disse kan aktiveres ved å holde knappen på yubikeyen inne i type 1 sekund for slot 1, 3 sekunder for slot 2, eller ved at det ene aktiveres av programvare som yubicos nye windowslogin(programmet ber yubikeyen om nøkkelen automagisk). For å aktivere den andre nøkkelslotten trenger vi Yubikey personalization tool.

Yubikey personalization tool ser slik ut, etter at det er ferdig lastet ned og installert.

Den røde pilen peker på linken med konfigurasjonsverktøyet for HMAC-SHA1 challenge-response, så klikk der!
Følg de røde pilene i bildet nedenfor for å konfigurere yubikeyen på enklest måte.

Det finnes et par ekstra alternativer som også kan aktiveres men det får man jammen eksperimentere med selv. Require user input på windowslogin kan nevnes at det er en solid dose plunder og heft å bruke, og anbefales på ingen som helst måte.
Som Hugo sier “Tvert imot!”.

Det anbefales forsåvidt også å sette yubikeyen inn i en usbslot på maskinen før “Write configuration” knappen trykkes.
Med litt hell skal nå brikken være ferdig konfigurert, og det nye programmet som yubico har laget for windowsbeskyttelse kan startes for å konfigurere windowsbrukeren. Guide for dette programmet finnes som tidligere nevnt her.

Koffer isje!