Czytnik linii papilarnych dla ubogich
Chciałbym przedstawić ciekawą alternatywę dla czytnika linii papilarnych - pam_usb, czyli autoryzacja pamięcią USB. Ma to pewne oczywiste wady względem prawdziwego czytnika, ale ma też zalety.
Instalacja
Najpierw trzeba zassać paczki libpam-usb i pamusb-tools. Następnie dodajemy do pliku /etc/pam.d/common-auth taką linijkę:
auth sufficient pam_usb.so
Konfiguracja
Teraz wypadałoby to cudo skonfigurować. Uruchamiamy "pamusb-conf -‑add-device DOWOLNA_NAZWA" z uprawnieniami roota i wybieramy, które urządzenie chcemy dodać. Potem przypisujemy to urządzenie do użytkownika komendą "pamusb-conf -‑add-user UŻYTKOWNIK". Jeśli chcemy, możemy obejrzeć plik konfiguracyjny - /etc/pamusb.conf
Użytkowanie i zasada działania
Od tej chwili nie będziemy pytani o hasło przy logowaniu z włożonym pendrivem. Działa też przy sudo i innych podobnych rzeczach. Autoryzacja działa na podstawie numeru seryjnego i takich tam pendrive'a, ale też tzw. one‑time-padów. Są to małe (~4 KiB) pliki umieszczane na urządzeniu (z kopią do weryfikacji w ~/.pamusb/) zmieniane co kilka montowań. Nawet jeśli ktoś podrobi naszego pendrive'a i skopiuje ten plik, szybko stanie się on nieaktualny, a podróba bezużyteczna. Jest to moim zdaniem główna przewaga libpam-usb nad podobnym libpam-rsa.
USB kontra paluch
No ale czy może to zastąpić czytnik linii papilarnych? Z powodzeniem!
Zalety:
+ "Masz tu pendrive'a, włącz mi komputer. Ja idę za potrzebą, zaraz wracam". No palca sobie przecież nie wyrwę. + Przenosi pliki. + Możliwość blokowania ekranu (lub wykonania dowolnej innej czynności) poprzez "urwanie".
Wady:
- Wypadałoby zawsze nosić taki klucz przy sobie (można sobie szybko wyrobić nawyk). - Można zgubić. - Niby nie działa przez SSH, ale wewnątrz screena czy tmuksa magicznie zaczyna. I root odsłonięty. Bardzo niemiłe podczas współdzielenia sesji tmuksa gdy się zagapimy i zostawimy wpięty pendrive.