Anda di halaman 1dari 4

S'identifier par une cl USB - Lea Linux

http://lea-linux.org/cached/index/S%27identifier_par_une_cl%C3...

Templeet JeSuisLibre Lolix LinuxFr LinuxFrench LinuxGraphic GCU-Squad La-Linux.org >> Dcouvrir Linux Fiches pratiques Forum Trucs & astuces Contacts Carte du site Rubriques >> Installation X Window Matriel Logiciels Le rseau Administrer Noyau et modules Dvelopper Lavanc Actions >> Historique de la page Pages lies Lea Linux:Caf du coin Suivi des liens

Bienvenue sur La-Linux

Liste d'aide Confidentialit Plus de rubriques...

Consulter Rechercher Accueil Informations personnelles Crer un compte ou se connecter Proposition d'article Version imprimable | pdf Aide

[Modifier cette page] [Page de discussion]

S'identifier par une cl USB

Sommaire

Objectif
Permettre l'identification d'un utilisateur par une cl USB, en remplacement ou en complment du mot de passe

Objectif Logiciels et matriel utiliss Installation du module Prparation du systme Montage automatique de la cl Gnration des cls Gnration des cls Facultatif : cryptage des cls Paramtrage du systme Identification par cl uniquement Identification par cl et mot de passe Identification par cl ou par mot de passe Faire les essais ! Rattraper les erreurs Copyright
Catgories

Logiciels et matriel utiliss


Distribution : Debian, mais cela est normalement possible avec toutes... Logiciel : pam_usb, un module ddi cette utilisation pour PAM. PAM est un mcanisme d'authentification intgr beaucoup de distributions GNU/Linux. Attention cette mthode ne fonctionne pas avec les gestionnaires de connexion graphique comme KDM, GDM, XDM, etc. Elle est uniquement valable pour un login en mode texte. N'importe quelle cl USB reconnue sous Linux devrait convenir. La capacit ncessaire est infime : 1 Ko suffit pour un utilisateur, avec une cl DSA de 1024 bits ! Une bonne solution pour encore plus de scurit est de partitionner votre cl : vous pouvez crer une petite partition la fin de la cl, d'environ 1 Mo (ce qui est largement suffisant pour stocker quelques cls, en thorie on pourrait en mettre 500 dans 1 Mo !) Ainsi, vos cls ne seront pas confondues avec le reste de vos donnes et il n'y a pas de risque de les effacer.

Catgories de la page: Scurit Administration systme CC-BY-SA


Pages spciales

Modifications rcentes Catgories de la page Nouvelles pages Pages les plus consultes

Installation du module
Il n'existe malheureusement pas (encore) de paquet pour

1 sur 4

26/10/07 23:57

S'identifier par une cl USB - Lea Linux


Bac sable Rapport d'erreurs

http://lea-linux.org/cached/index/S%27identifier_par_une_cl%C3... Debian. Si vous utilisez une autre distribution, essayer de vrifier s'il n'existe pas un paquet, si vous tes sous Debian, tlchargez les sources sur le site officiel : [1] Sur une Debian "'sarge" les dpendances requises sont : libssl-dev, libreadline4-dev, libpam0g-dev, libpam-usb, que vous pouvez installer par apt-get. Sur Debian "etch" (testing", il faut installer tout ca et en plus libreadline5 et libreadline5-dev Ensuite, il faut extraire les sources et lancer la compilation :
$ $ $ $ # tar xvzf pam_usb-version.tar.gz cd pam_usb_version make su puis taper le mot de passe ''root'' make install

Et c'est tout, le module est normalement install, s'il vous n'obtenez pas d'erreur la compilation, auquel cas il vous faut vrifier que toutes les dpendances sont bien installes...

Prparation du systme
Montage automatique de la cl
Il faut que votre cl soit monte automatiquement lorsque vous l'insrez, sinon, ca ne fonctionnera pas (encore que sur mon systme cela fonctionn sans monter la cl...) Il faut donc crer une ligne dans votre /etc/fstab qui ressemble celle-ci :
/dev/sda1 /media/cle auto rw,user,auto 0 0

en remplaant /dev/sda1 par le priphrique qui correspond votre cl, /media/cle par son point de montage, et auto par son systme de fichiers (vous pouvez aussi laisser auto pour une dtection automatique) Pour plus de dtails sur l'utilisation des cls USB vous pouvez consulter cet article Hardware-hard stock-cleusb

Gnration des cls


Gnration des cls
Il faut prsent gnrer la paire de cls publique/prive qui sera utilise pour vous identifier. Dans une console tapez
% usbadm keygen /media/cle login 2048

en remplaant /media/cle par le point de montage de votre cl et login par le nom d'utilisateur pour lequel vous voulez gnrer les cls. 2048 correspond la taille de la cl, on estime que c'est suffisant, compte tenu de la puissance des ordinateurs actuels, pour une assez grande scurit. Cependant, n'oubliez pas que n'importe quelle cl sera toujours "piratable". Vous obtiendrez :

2 sur 4

26/10/07 23:57

S'identifier par une cl USB - Lea Linux

http://lea-linux.org/cached/index/S%27identifier_par_une_cl%C3...

[!] [!] [+] [+] [!] [+]

Generating 2048 DSA key pair for thomas@p3thomas Extracting private key... Private key extracted. Private key successfully written. Writing public key... Public key successfully written.

Vos cls ont donc t gnres dans un dossier cach nomm .auth de votre cl USB. Il faut rpter cette opration pour tous les utilisateurs qui veulent utiliser leur cl pour s'identifier.

Facultatif : cryptage des cls


Pour plus de scurit, il est possible de crypter les cls, par la commande % usbadm cipher /media/cle login il vous sera demand l'algorythme utiliser :

[!] Importing the private key... [+] Private key imported [!] Encrypting the private key may prevent someone to authenticate with your key. The drawback is that pam_usb will prompt you for password every time you authenticate. [?] Which algorithm want you to use ? (none/des3/twofish):

Pour pouvoir protger votre cl par une passphrase, il faut choisir des3. Il vous sera demand la passphrase, qu'il vous sera ensuite ncessaire de taper chaque utilisation de la cl, c'est dire chaque identification. Et votre cl est crypte !

Paramtrage du systme
Il ne reste plus qu' modifier le comportement de PAM pour qu'il prenne en compte le module pam_usb. Trois cas (ou plus ?) sont possibles :
Identification par cl USB uniquement. Aucun mot de passe (sauf la passphrase de la cl DSA si vous en avez une) ne sera requis Identification par cl et par mot de passe. Votre mot de passe sera comme avant demand, mais si la cl USB n'est pas prsente vous ne pourrez pas vous identifier. C'est la solution la plus sure, mais aussi la moin pratique. Identification par cl USB ou par mot de passe. L'un ou l'autre suffit.

Dans les trois cas tout se passera dans les fichiers du rpertoire /etc/pam.d Pour utiliser cette mthode uniquement au moment du login, il faut modifier le fichier /etc/pam.d/login. Pour l'utiliser toutes les identifications, il faut agir sur le fichier /etc/pam.d/common-auth

Identification par cl uniquement

3 sur 4

26/10/07 23:57

S'identifier par une cl USB - Lea Linux

http://lea-linux.org/cached/index/S%27identifier_par_une_cl%C3...

Il faut modifier le fichier /etc/pam.d/common-auth comme suit :


auth required usb_pam.so

et commenter la ligne :
auth required pam_unix.so nullok_secure

Identification par cl et mot de passe


Il faut comme prcdemment ajouter la ligne
auth required usb_pam.so

et laisser le reste du fichier tel quel.

Identification par cl ou par mot de passe


Ajouter la ligne au fichier /etc/pam.d/common-auth
auth sufficient usb_pam.so

Faire les essais !


Normalement vous pouvez vous dlogguer, et faire l'essai ! Dans un premier temps je vous conseille d'utiliser l'authentification par cl ou par mot de passe, car, si l'identification par cl ne fonctionne pas, vous pourrez toujours vous logguer avec votre mot de passe pour corriger ce qui ne va pas.

Rattraper les erreurs


Si par malheur vous avez modifi le fichier en mettant auth required pam_sub.so et que votre cl ne fonctionne plus, alors vous ne pouvez plus vous loguer ! La solution consiste booter sur un Live-CD, monter votre partition systme, et modifier le fichier pour supprimer l'identification par cl. ( tester) Une autre solution consiste booter sur un kernel avec l'option single. En gnral les kernels marqus par failsafe dans le bootloader comportent cette option.

Copyright >>
28 fv 2006 Thomas.debay Ce document est publi sous licence Creative Commons Attribution, Partage l'identique 2.0 : http://creativecommons.org/licenses/by-sa/2.0/ Ajouter un commentaire|Ajouter une section

4 sur 4

26/10/07 23:57