Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[TIP] Autologin con stick USB
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page 1, 2  Next  
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) Risorse italiane (documentazione e tools)
View previous topic :: View next topic  
Author Message
otaku
Guru
Guru


Joined: 16 Dec 2004
Posts: 428
Location: Rho (MI)

PostPosted: Sat Oct 01, 2005 2:33 pm    Post subject: [TIP] Autologin con stick USB Reply with quote

Questo tip spiega come configurare pam in modo da autenticarsi tramite una chiave su una penna usb, o qualsiasi dispositivo di memorizzazione USB
Pagina originale

  • Innanzi tutto si inizia con l'installare pam_usb:
    Code:
    emerge pam_usb

  • Ora si creerà la chiave sulla penna usb:
    Code:
    usbadm keygen <mountpoint della stick USB> <username> 2048

  • Si potrà accedere a tutti i programmi che si appoggiano a pam modificando opportuni file di configurazione;
    nel tip originale vengono riportati i seguenti programmi:
    • su
    • sudo
    • kdm/gdm
    • login

  • Per impostare i programmi che useranno questa autenticazione hardware è sufficiente modificare i relativi file in /etc/pam.d;
    inseriremo quindi all'inzio di ogni file:
    Code:
    auth       sufficient   pam_usb.so !check_device

    per un autenticazione opzionale
    Code:
    auth       required   pam_usb.so !check_device

    per un autenticazione obbligatoria

Sul mio notebook ho usato iveman M~ e HAL 0.5.4 anche lui M~ e funziona tutto egregiamente, all'avvio inserisco la chiave, digito il mio nome utente in gdm ed eseguo il login senza alcuna password; cosa molto utile quando
  • ci si ritrova ad avere password complesse e qualche birra di troppo in corpo, magari in ambienti poco luminosi hehehe ;)
  • ci si vuol dare un tono con gli amici windowsiani :D
  • si ha poco tempo e bisogna digitare in fretta
  • varie ed eventuali...


Ieri sera l'ho trovata simpatica come cosa, speriamo si riveli anche utile ;)
_________________
Ventiquattr'ore al giorno in preda a una follia contorta...
Back to top
View user's profile Send private message
Tiro
l33t
l33t


Joined: 14 Feb 2003
Posts: 750
Location: italy

PostPosted: Sat Oct 01, 2005 3:09 pm    Post subject: Reply with quote

lo provo subito!!!!!!!!!!! :)
Back to top
View user's profile Send private message
Onip
Advocate
Advocate


Joined: 02 Sep 2004
Posts: 2909
Location: Parma (Italy)

PostPosted: Sat Oct 01, 2005 4:44 pm    Post subject: Reply with quote

grande TIP, appena ho tempo lo provo
_________________
Linux Registered User n. 373835

Titus Lucretius Carus, De Rerum Natura - Tantum religio potuit suadere malorum
Back to top
View user's profile Send private message
ogeidix
n00b
n00b


Joined: 14 Sep 2004
Posts: 69

PostPosted: Sat Oct 01, 2005 5:06 pm    Post subject: Reply with quote

I miei + grossi complimenti !
era un po' che mi ripromettevo di perdere un po' di tempo su
qualcosa del genere, Grazie Mille !

:: ogeidix

PS: ora il prox passo è al posto di una pennina usb uno stick bluetooh
(con led e pulsante "accetto cedere pwd" )
Back to top
View user's profile Send private message
federico
Advocate
Advocate


Joined: 18 Feb 2003
Posts: 3270
Location: Italy, Milano

PostPosted: Sat Oct 01, 2005 5:46 pm    Post subject: Reply with quote

Senza il dispositivo e' possibile loggarsi in qualche modo ?
Se perdo la chiave per dire o qualcosa del genere?
Fede
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk
Back to top
View user's profile Send private message
codadilupo
Advocate
Advocate


Joined: 05 Aug 2003
Posts: 3134

PostPosted: Sat Oct 01, 2005 6:01 pm    Post subject: Reply with quote

in genere puoi attaccare l'HD a un'altra macchina e ripigliarti i dati... sempre che tu non abbia anche crittato il filesystem ;-)
Ricordo che FonderiaDigitale aveva usato una cosa di questo tipo (USB+crittazione) per il portatile.

Coda
_________________
# emerge -C gelmini
Back to top
View user's profile Send private message
otaku
Guru
Guru


Joined: 16 Dec 2004
Posts: 428
Location: Rho (MI)

PostPosted: Sat Oct 01, 2005 6:01 pm    Post subject: Reply with quote

federico wrote:
Senza il dispositivo e' possibile loggarsi in qualche modo ?
Se perdo la chiave per dire o qualcosa del genere?
Fede

bash richiede comunque una password per il login, così nessuno può entrare da remoto (a meno che non sia permesso da {x,g,k}dm)

il login può essere fatto sia con pass e chiave o unicamente con la chiave.. anche se la prima mi sembra la più appropriata... per un notebook almeno
_________________
Ventiquattr'ore al giorno in preda a una follia contorta...
Back to top
View user's profile Send private message
gutter
Moderator
Moderator


Joined: 13 Mar 2004
Posts: 7160
Location: Aarau, Aargau, Switzerland

PostPosted: Sat Oct 01, 2005 6:30 pm    Post subject: Reply with quote

federico wrote:
Senza il dispositivo e' possibile loggarsi in qualche modo ?


Si, puoi sempre specificare di autenticarti con la chiave e alternativamente con una password.
_________________
Registered as User #281564 and Machines #163761
Back to top
View user's profile Send private message
X-Drum
Advocate
Advocate


Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy

PostPosted: Sat Oct 01, 2005 8:20 pm    Post subject: Reply with quote

http://forums.gentoo.org/viewtopic-t-207124-highlight-pamusb.html
_________________
"...There are two sort of lies, lies and benchmarks..."
Back to top
View user's profile Send private message
Atomikramp
Apprentice
Apprentice


Joined: 27 Sep 2004
Posts: 200

PostPosted: Sat Oct 01, 2005 9:18 pm    Post subject: Reply with quote

l'articolo è molto interessante....

ma secondo me sarebbe + utile dover digitare la password anzichè lo username

poichè per convenzione lo username è pubblico ma è la password ad essere segreta
lo smarrimento del token da parte dell'utente potrebbe compromettere seriamente la sicurezza dei dati contenuti sul profilo

se invece il token rappresentasse lo username e poi si dovesse digitare la password per confermare il login allora la sicurezza sarebbe maggiore
in quanto sarebbe necessario possedere il token, ma bisognerebbe conoscere anche la password

il principio in questo caso sarebbe simile a quello dei bancomat per intenderci.
Back to top
View user's profile Send private message
X-Drum
Advocate
Advocate


Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy

PostPosted: Sat Oct 01, 2005 9:21 pm    Post subject: Reply with quote

puoi adoperare pam_usb anche a tale scopo
_________________
"...There are two sort of lies, lies and benchmarks..."
Back to top
View user's profile Send private message
federico
Advocate
Advocate


Joined: 18 Feb 2003
Posts: 3270
Location: Italy, Milano

PostPosted: Sun Oct 02, 2005 7:35 am    Post subject: Reply with quote

Cavoli ma sapete che non riesco a farlo funzionare? :(
Ho emerso pam_usb e in qualche modo il mio sistema monta automaticamente la chiavetta in /mnt/chiavetta quando la inserisco. Da root ho dato

Code:

altair ~ # usbadm keygen /mnt/chiavetta/ blackman 2048
[!] Directory /home/blackman/.auth/ not found, creating one...
[!] Directory /mnt/chiavetta//.auth/ not found, creating one...
[!] Generating 2048 DSA key pair for blackman@altair
[!] Extracting private key...
[+] Private key extracted.
[+] Private key successfully written.
[!] Writing public key...
[+] Public key successfully written.


e poi ho modificato il file /etc/pam.d/su in questo modo

Code:

#%PAM-1.0

auth       required     pam_usb.so !check_device
auth       sufficient   pam_rootok.so

# If you want to restrict users begin allowed to su even more,
# create /etc/security/suauth.allow (or to that matter) that is only


Ho aperto una console di utente, ho dato su, e mi da sempre errore. Ho provato a cambiare required con sufficient e funziona con e senza chiavetta (al che mi domando a cosa serva...) mentre con required non va mai, ne' con ne' senza (noto che la chiavetta non lampeggia, forse neanche vi accede il sistema).

Ho controllato che i files di autorizzazione fossero stati creati correttamente e fossero leggibili da utente e da root, e mi pare tutto ok, mi domando sinceramente come cavolo fa pam_usb a sapere su quale dispositivo deve andare a leggere i dati...

Fede
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk
Back to top
View user's profile Send private message
otaku
Guru
Guru


Joined: 16 Dec 2004
Posts: 428
Location: Rho (MI)

PostPosted: Sun Oct 02, 2005 10:22 am    Post subject: Reply with quote

serve anche
Code:
usbadm keygen /mnt/chiavetta/ root 2048

_________________
Ventiquattr'ore al giorno in preda a una follia contorta...
Back to top
View user's profile Send private message
federico
Advocate
Advocate


Joined: 18 Feb 2003
Posts: 3270
Location: Italy, Milano

PostPosted: Sun Oct 02, 2005 11:46 am    Post subject: Reply with quote

otaku wrote:
serve anche
Code:
usbadm keygen /mnt/chiavetta/ root 2048

Sembra non bastare a risolvere il problema, vedo se riesco a capire come funziona sto sistema, e da cosa dipende il fatto che lui legga o meno le pass sul dispositivo..
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk
Back to top
View user's profile Send private message
FonderiaDigitale
Veteran
Veteran


Joined: 06 Nov 2003
Posts: 1710
Location: Rome, Italy

PostPosted: Sun Oct 02, 2005 12:29 pm    Post subject: Re: [TIP] Autologin con stick USB Reply with quote

otaku wrote:
cosa molto utile quando
  • ci si ritrova ad avere password complesse e qualche birra di troppo in corpo, magari in ambienti poco luminosi hehehe ;)
  • ci si vuol dare un tono con gli amici windowsiani :D
  • si ha poco tempo e bisogna digitare in fretta
  • varie ed eventuali...



aggiungerei
  • si e' in ambienti ostili, o sul lavoro, e non si vuol farsi vedere digitando password
  • non si e' sicuri che non siano presenti keyloggers sulla macchina su cui si sta scrivendo

_________________
Come disse un amico, i sistemisti sono un po' come gli artigiani per l'informatica :)
Back to top
View user's profile Send private message
X-Drum
Advocate
Advocate


Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy

PostPosted: Mon Oct 03, 2005 12:29 am    Post subject: Re: [TIP] Autologin con stick USB Reply with quote

FonderiaDigitale wrote:

[*]si e' in ambienti ostili, o sul lavoro, e non si vuol farsi vedere digitando password


esatto, quoto ho iniziato ad usarlo per questo motivo
_________________
"...There are two sort of lies, lies and benchmarks..."
Back to top
View user's profile Send private message
neon
l33t
l33t


Joined: 04 Aug 2003
Posts: 759
Location: Catania, Italy, Europe

PostPosted: Fri Feb 24, 2006 5:50 pm    Post subject: [HOWTO] pam_usb: Loggarsi utilizzando un pendrive USB Reply with quote

Grazie a http://www.pamusb.org/ e' possibile utilizzare chiavi DSA conservate su semplici pendrive USB per effettuare l'autenticazione con PAM sul proprio sistema.

1) Installazione

Tutto quello di cui abbiamo bisogno lo possiamo trovare in portage:
Code:
* sys-auth/pam_usb
     Available versions:  ~0.3.1 ~0.3.2
     Installed:           none
     Homepage:            http://www.pamusb.org/
     Description:         A PAM module that enables authentication using an USB-Storage device (such as an USB Pen) through DSA private/public keys.


il pacchetto e' masked quindi bisogna aggiungerlo in /etc/portage/package.keywords
Code:
# login con chiavi DSA da usb
sys-auth/pam_usb


Ora possiamo emergere il pacchetto:
Code:
# emerge pam_usb


2) Creare le chiavi necessarie

Assicuratevi che il vostro pendrive sia montato ed accessibile dal vostro utente. Il mio e' montato in /mnt/pendrive con un FS vfat ed ha come device /dev/sda1

Per creare le chiavi utilizzate:
Code:
$ usbadm keygen [/path/della/dir/del/pendrive/] [user] [bits]
[!] Directory /home/[user]/.auth/ not found, creating one...
[!] Directory [/path/della/dir/del/pendrive/]/.auth/ not found, creating one...
[W] Cannot chown u(0) g(0) the directory [/path/della/dir/del/pendrive/]/.auth/
[!] Generating 1024 DSA key pair for [user]@[host]
[!] Extracting private key...
[+] Private key extracted.
[+] Private key successfully written.
[!] Writing public key...
[+] Public key successfully written.

Dove user e' il vostro utente e bits e' la grandezza della chiave che volete generare. Il warning di chown e' normale su di un filesystem vfat, se il vostro filesystem supporta i permessi non dovreste riceverlo.
ATTENZIONE: la directory .auth deve trovarsi nella root del pendrive e non in una sottocartella perche' e' li' che verra' cercata al login.

3) Modalita' di pam_usb

Vi ricordo che pam_usb puo' funzionare in 3 modalita':

  • Unique: Puoi effettuare il login solamente utilizzando
    il tuo pendrive USB, se non e' presente non e' possibile effettuare il login.

  • Alternative: Inserire il pen drive e' sufficiente ad effettuare il login.
    Se non e' presente viene presentato il solito prompt per effettuare il
    login manuale.

  • Additional: Per effettuare il login bisogna inserire il pen drive e
    successivamente digitare la password al prompt.


In particolare io spiego come usarlo in come Alternative ma modificando i file in /etc/pam.d/ in maniera simile a come indicato qui non dovrebbe essere troppo difficile configurarlo diversamente.

4) Sistemiamo il nostro /etc/pam.d/

Creiamo un file di log:
Code:
# touch /var/log/pam_usb.log


Editiamo /etc/pam.d/system-auth in modo da inserire la seguente riga:
Code:
auth       sufficient   pam_usb.so !check_device force_device=/dev/sda1 fs=vfat debug=1 log_file=/var/log/pam_usb.log

in questa posizione:
Code:
auth       required     pam_env.so
auth       sufficient   pam_usb.so !check_device force_device=/dev/sda fs=vfat debug=1 log_file=/var/log/pam_usb.log
auth       sufficient   pam_unix.so likeauth nullok
[...]


!check_device serve a far funzionare pam_usb con i kernel 2.6 (anche se la nuova versione 0.3.3 non in portage non ha bisogno di questa opzione)
force_device=/dev/sda1 indica il device da usare
fs=vfat il tipo di filesystem del pendrive
Le altre due sono abbastanza esplicative, se non volete logging potete anche toglierle

5) Fine

Ora dovreste essere in grado di loggarvi semplicemente inserendo il pendrive ed immettendo il vostro nome utente al login.
Non sono al corrente di quanto questo metodo possa essere sicuro, personalmente lo utilizzo per comodita' e soprattutto perche' lo volevo provare ;)
Resta una simpatica alternativa al lettore di impronte digitali.

edit: Dimenticavo, volendo si potrebbe configurare udev in modo da riconoscere il proprio pendrive ed assegnargli una particolare device (per evitare che con 2 pendrive connessi ci possano essere problemi)

bye
_________________
Io credo che le tecnologie siano moralmente neutrali fino a quando non le utilizziamo - William Gibson

LINEE GUIDA DEL FORUM
Back to top
View user's profile Send private message
Luca89
Advocate
Advocate


Joined: 27 Apr 2005
Posts: 2107
Location: Agrigento (Italy)

PostPosted: Fri Feb 24, 2006 10:15 pm    Post subject: Reply with quote

Io farei un merge con questa qua, visto che trattano dello stesso argomento. Così si ha una guida più completa senza doppioni.
_________________
Running Fast!
Back to top
View user's profile Send private message
neon
l33t
l33t


Joined: 04 Aug 2003
Posts: 759
Location: Catania, Italy, Europe

PostPosted: Sat Feb 25, 2006 12:06 am    Post subject: Reply with quote

:(

e dire che prima di farla avevo cercato pam_usb sul forum non trovando quella discussione... mannaggia...
_________________
Io credo che le tecnologie siano moralmente neutrali fino a quando non le utilizziamo - William Gibson

LINEE GUIDA DEL FORUM
Back to top
View user's profile Send private message
simone-27
Tux's lil' helper
Tux's lil' helper


Joined: 19 Feb 2007
Posts: 118

PostPosted: Tue Apr 17, 2007 1:28 pm    Post subject: Reply with quote

Ma....sono l unico che dando:
Code:
usbadm keygen [/path/della/dir/del/pendrive/] [user] [bits]

riceve un bel:
Code:
bash: usbadm: command not found

:?: :?: Grazie...
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3652

PostPosted: Tue Apr 17, 2007 2:06 pm    Post subject: Reply with quote

simone-27 wrote:
Ma....sono l unico che dando:
Code:
usbadm keygen [/path/della/dir/del/pendrive/] [user] [bits]

riceve un bel:
Code:
bash: usbadm: command not found

:?: :?: Grazie...

No, penso che lo dia anche a tutti quelli che non hanno installato pam_usb :lol:
Code:
# qlist pam_usb
/etc/hotplug.d/default/pamusb.hotplug
/etc/pam.d/usbhotplug
/etc/pam_usb/handlers/xlock.sh
/etc/pam_usb/hotplug.conf
/lib/security/pam_usb.so
/usr/bin/usbhotplug
/usr/bin/usbadm
/usr/share/doc/pam_usb-0.3.2/AUTHORS.bz2
/usr/share/doc/pam_usb-0.3.2/README.bz2
/usr/share/doc/pam_usb-0.3.2/Changelog.bz2
/usr/share/man/man1/usbadm.1.bz2

_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
simone-27
Tux's lil' helper
Tux's lil' helper


Joined: 19 Feb 2007
Posts: 118

PostPosted: Tue Apr 17, 2007 5:00 pm    Post subject: Reply with quote

ma pam_usb è installato!!!
Code:
localhost simone # emerge -s pam_usb
Searching...
[ Results for search key : pam_usb ]
[ Applications found : 1 ]

*  sys-auth/pam_usb
      Latest version available: 0.4.0
      Latest version installed: 0.4.0
      Size of files: 31 kB
      Homepage:      http://www.pamusb.org/
      Description:   pam_usb provides hardware authentication for Linux using ordinary USB Flash Drives.
      License:       GPL-2

A quanto pare nella versione 0.4.0 non c'è più!!!
Code:
localhost simone # qlist pam_usb
/usr/bin/pamusb-check
/usr/bin/pamusb-conf
/usr/bin/pamusb-agent
/usr/share/doc/pam_usb-0.4.0/QUICKSTART
/usr/share/doc/pam_usb-0.4.0/CONFIGURATION
/usr/share/doc/pam_usb-0.4.0/UPGRADING
/usr/share/doc/pam_usb-0.4.0/FAQ
/usr/share/doc/pam_usb-0.4.0/ChangeLog.bz2
/usr/share/man/man1/pamusb-conf.1.bz2
/usr/share/man/man1/pamusb-agent.1.bz2
/usr/share/man/man1/pamusb-check.1.bz2
/etc/pamusb.conf
/lib/security/pam_usb.so
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3652

PostPosted: Wed Apr 18, 2007 5:39 am    Post subject: Reply with quote

Hai provato a leggerti questi file
Code:
/usr/share/doc/pam_usb-0.4.0/QUICKSTART
/usr/share/doc/pam_usb-0.4.0/CONFIGURATION
/usr/share/doc/pam_usb-0.4.0/UPGRADING
/usr/share/doc/pam_usb-0.4.0/FAQ
/usr/share/doc/pam_usb-0.4.0/ChangeLog.bz2
non dicono nulla a riguardo ?
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
simone-27
Tux's lil' helper
Tux's lil' helper


Joined: 19 Feb 2007
Posts: 118

PostPosted: Thu Apr 19, 2007 1:09 pm    Post subject: Reply with quote

si trovato...dicono di fare cosi:
Code:
pamusb-conf --add-device /dev/sdf1
pamusb-conf --add-user simone

e poi di testare se tutto è andato a buon fine con:
Code:
pamusb-check simone

che mi restituisce i siguenti errori:
Code:
* Authentication request for user "simone" (pamusb-check)
* Device "/dev/sdf1" is connected (good).
* Performing one time pad verification...
* Verification match, updating one time pads...
* Unable to change owner of the pad: Operation not permitted  <===questo
* Unable to update pads.  <===questo
* Access granted.

a che sono dovuti? :oops:
Back to top
View user's profile Send private message
made
l33t
l33t


Joined: 19 Mar 2005
Posts: 608
Location: veneto

PostPosted: Mon May 28, 2007 5:53 pm    Post subject: Reply with quote

è possibile fare il login direttamente da kdm??? senza usare la shell??
_________________
My system: cpu AMD Athlon(tm) 64 Processor 3800+,kernel 2.6.25-r1-gentoo
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) Risorse italiane (documentazione e tools) All times are GMT
Goto page 1, 2  Next
Page 1 of 2

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum