Hoy me complace presentarles esta interesantes material que nos envía Reynier Pupo Gómez en el que nos explica como por medio de un dispositivo USB es posible autenticarnos en nuestras PCs con linux.

candado

 Primero que todo hay que saber que la forma que se presentará para la autenticación es mediante un módulo de PAM (Pluggable Authentication Modules). Este módulo se denomina PAM_USB y permite prescindir del tecleo de contraseñas de usuarios Linux utilizando dispositivos USB. Esto puede ser utilizado como un segundo factor de seguridad aparte de la entrada de contraseñas normal. Otra ventaja importante es que no hace ninguna modificación al dispositivo utilizado, solo obtiene información específica y única del mismo como UID, fabricante, modelo, etc.; siendo posible su uso en distintas maquinas.

Posee tres herramientas fundamentales:

pamusb-agent: Está a cargo de la ejecución de comandos una vez que el dispositivo es puesto o retirado.

pamusb-conf: Se encarga de manipular el fichero de configuración de pamusb /etc/pamusb.conf

pamusb-check: Puede ser utilizado con fines de prueba.

Para tener a punto PAM_USB primero hay que instalar pamusb-common(al menos en el repo de Ubuntu se denomina así).

Luego pasamos a configurarlo:

1- Primeramente con el dispositivo que se va a utilizar como llave conectado al equipo (sin tener que estar montado) ejecutamos #pamusb-conf –add-device=nombreCualquiera . En dependencia de los dispositivos conectados en ese momento saldrá un menú para elegir el dispositivo a registrar. Haciendo esto ya este dispositivo está listo para ser utilizado como llave.

2- Luego se procede a especificar el usuario al que va a corresponder el dispositivo. Ejecutamos #pamusb-conf –add-user=cualquierUsuario . Entonces la herramienta solicita la elección de un determinado dispositivo. Haciendo esto garantizamos que el dispositivo seleccionado quede ligado a determinado usuario.

3- Asegurarse de que en el archivo /etc/pam.d/common-auth exista la linea: auth sufficient pam_usb.so. Esto garantiza que sea suficiente el requisito de autenticación por USB.

Ya en este punto estamos listos para loguearnos con kdm, lightdm, gdm, usar sudo, desbloquear la PC, no requerir password con gksu, kdesu o cualquier otra cosa que tenga que ver con passwords del usuario registrado. Si queremos que cuando retiremos o conectemos el dispositivo se ejecute determinada orden debemos editar el archivo /etc/pamusb.conf en la parte específica para cada usuario y tener en ejecución pamusb-agent por el usuario a utilizar. Por ejemplo si deseamos que cuando se retire una memoria se bloquee la pantalla en KDE y cuando se ponga se desbloquee la configuración del usuario quedaría:

mimem

qdbus org.kde.screensaver /ScreenSaver org.freedesktop.ScreenSaver.SetActive true

qdbus org.kde.screensaver /ScreenSaver org.freedesktop.ScreenSaver.SetActive false

Happy Hacking

Cualquier duda escribir a rgomez@uci.cu

A continuación les adjunto dos archivos de referencia.

[Descarga no encontrada]