Der Fido-Key kann das Wiedereinloggen bei gesperrtem Bildschirmschoner und die Benutzung von sudo vereinfachen.
Voraussetzung: Installation von libpam-u2f
sudo apt install libpam-u2f
In /etc/pam.d wird die Datei u2f-auth mit folgendem Inhalt neu angelegt:
## Ersatz fuer common-auth ## ## U2F-Token / Passwort ## # erst: U2F-Token auth [success=2 default=ignore] pam_u2f.so # Fallback -- funktioniert immer: Passwort auth [success=1 default=ignore] pam_unix.so try_first_pass # FAIL auth requisite pam_deny.so # SUCCESSS auth required pam_permit.so
und die Datei sudo (nach Kopie des Originals) so verändert:
#%PAM-1.0 session required pam_env.so readenv=1 user_readenv=0 session required pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0 #@include common-auth @include u2f-auth @include common-account @include common-session-noninteractive
In der Datei xscreensaver wird ebenfalls common-auth auskommentiert und durch u2f-auth ersetzt
# # /etc/pam.d/xscreensaver - PAM behavior for xscreensaver # #@include common-auth @include u2f-auth @include common-account
Die Grundlagen dafür finden sich in folgenden c't-Artikeln: