Luks skirsnio atrakinimas Yubikey raktu Arch distroje

Naudojantiems failų sistemos kodavimą, ir turintiems yubikey-neo, palaikantį ir  HMAC-SHA1, galima vietoje ilgo slaptažodžio (juk slaptažodžiai ilgi, taip?)  įvedinėjimo naudoti yubikey arba yubikey+PIN.

Kaip sudoers grupės useris darom nesigilinant tai, viską vėliau root vartotoju:

git clone https://aur.archlinux.org/mkinitcpio-ykfde-git.git/
cd mkinitcpio-ykfde-git.git
sudo makepkg -si

 

Reikia sukurti failą /etc/crypttab.initramfs, kuriame bus 3 stulpeliai:

1. Prijungto jau iškoduoto skirsnio pavadinimas /dev/mapper/luks-c128tf58-4b32-4t7e-bf29-94ft1fdv8a05

Pavadinimą galima pasižiūrėti įvykdžius komandą:

 dmsetup ls --target crypt

2. antras stulpelis – koduoto skirsnio UUID. Visus skirsnius parodys

blkid

Reikia atsirinkti, kuris skirsnis /dev/sdXY koduotas.

3. Trečias stulpelis – brūkšniukas.

Finale failas /etc/crypttab.initramfs turi atrodyti taip:

luks-c128tf58-4b32-4t7e-bf29-94ft1fdv8a05 UUID=441f4dd2-16g3-43e7-a32b-0a71b24db071 -

Vykdom komandą ykfde ir gauname pranešimą:

Please set LUKS key slot for Yubikey with serial 3516578!
Add something like this to /etc/ykfde.conf:
[3516578]
luks slot = 1

Pajuodinga yubikey-neo numeris, jo reiks faile /etc/ykfde.conf Pajuodinta tai, ką reikia pakeisti:

device name = luks-c128tf58-4b32-4t7e-bf29-94ft1fdv8a05
[3516578]
luks slot = 4

Dar kartą vykdome:

ykfde

Redaguojam hooks /etc/mkinitcpio.conf pridedami systemd, sd-encrypt ir ykfde. Svarbu hook`ų eiliškumas, veikianti versija:

HOOKS="base udev autodetect modconf block keyboard systemd sd-encrypt encrypt ykfde filesystems btrfs"

ĮSPĖJIMAS: prieš generuojant naują image, pasidarykit failo /boot/initramfs-linux.img kopiją, taip pat kokį live cd ar pan., – sistema gali sulūžti, ir turėkite galimybę grįžti prie veikiančios OS.

mkinitpcio -p linux

Perkraunat kompą ir meldžiatės.

PIN pridėjimas

Vis dar skaitote? Neperkrovėt kompo arba netyčia suveikė 😀
Sociopatai gali su visu youbikey kompą konfiskuoti, tad papildomai yra gerai pridėti PIN`ą.

Vykdom:
ykfde -s PIN

Pridedame į /etc/mkinitcpio.conf hook`ą ykfde-2f, vėl

mkinitpcio -p linux

Ir perkrovus prašys PIN, tada yubikey.

Updated: 2016 02 13 at 14:34
Žymos:, ,

Parašykite komentarą

Popo.lt tinklaraščiai. Hosting powered by   serverių hostingas - Hostex
Eiti prie įrankių juostos