使用FIDO2 *和*密码的LUKS
使用FIDO2 *和*密码的LUKS
提问于 2021-12-23 00:58:08
我刚刚完成了使用FIDO2硬件令牌解锁的LUKS加密系统,该系统遵循这篇博客文章。然而,在家里,我通常离开硬件令牌插入,我只删除它时,旅行。因此,如果有人偷了笔记本电脑和插入的硬件令牌,他们就可以轻松地启动笔记本电脑并解密磁盘。
为了弥补这一点,我想使用2FA同时使用密码和硬件令牌,但到目前为止,我只找到了使用密码+ HMAC-SHA1 1的解决方案,方法是使用密码作为挑战,并将生成的哈希作为实际密码存储在LUKS中,因此这并不能概括为FIDO2。有没有办法让2FA与FIDO2一起工作呢?
回答 1
Unix & Linux用户
发布于 2022-01-14 20:33:55
自从248版以来,Systemd就有了一个模块。它叫密码系统。根据FIDO2的功能,2FA可以使用多个选项:
--fido2-with-user-presence=true配置系统,以便您需要触摸FIDO2棒。--fido2-with-client-pin=true配置系统,以便您需要FIDO2棒并输入PIN。--fido2-with-user-verification=true配置系统,以便您需要FIDO2棒并对系统进行身份验证。
一个示例调用将是systemd-cryptenroll --fido2-device=auto --fido2-with-user-verification=true /dev/sda3
但你应该尝试一个备用的USB驱动器或图像。在将FIDO2键注册到实际设备之前,请确保所有操作都按预期进行。
注册到设备的密钥后,在/etc/crypttab中的设备的D14选项中。
可以看到多个示例这里。
页面原文内容由Unix & Linux提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://unix.stackexchange.com/questions/683578
复制相关文章
相似问题
腾讯云开发者
