Mike Kuketz
2. Juli 2021 | 19:45 Uhr

System-Authentifizierung via Nitrokey – Digitaler Schutzschild Teil9

Vorwort

Ich nenne die Serie »digitaler Schutzschild«, weil alle Maßnahmen in der Summe dazu beitragen, die Privatsphäre und auch Sicherheit bestmöglich bzw. meinen Anforderungen entsprechend zu schützen. Die Beiträge werden eher kurz bzw. kompakt sein und gehen nicht zu sehr ins Detail. Das soll dem Informationsgehalt jedoch keinen Abbruch tun.

Digitaler Schutzschild

Mein Notebook steht nicht nur zu Hause auf dem Schreibtisch, sondern bereist die Welt – auch mal im Flugzeug. Daher lege ich Wert auf eine Festplattenverschlüsselung mittels dm-crypt, konfiguriert mit dem Logical Volume Management (LVM). Damit aber nicht genug, die Anmeldung / Authentifizierung an Debian GNU/Linux ist wie folgt konfiguriert:

  • Anmeldung am System nur mit eingestecktem Nitrokey (Pro) via RSA-Keys + PIN
  • Als Fallback (Stick nicht vorhanden) ist auch die Eingabe einer Passphrase möglich (50 stellig)

Auf einem Debian GNU/Linux benötigt ihr dafür die folgenden Pakete: libccid nitrokey-app libpam-poldi

Danach könnt ihr den Nitrokey mit den RSA-Schlüsseln vorbereiten, wie im Beitrag »GnuPG-Schlüsselerstellung und Smartcard-Transfer – Nitrokey Teil2« beschrieben. Die Poldi-PAM-Konfiguration läuft anschließend wie folgt ab:

Schritt [1] – Application-ID herausfinden:

gpg --card-status | grep Application

Ausgabe:

Application ID ...: D376000124010303000500006B440000
Application type .: OpenPGP

Schritt [2] – Dann muss der Nutzer mit der Smartcard verknüpft werden:

nano /etc/poldi/localdb/users
D376000124010303000500006B440000    mike

Schritt [3] – Public-Key des Nitrokeys in Poldi-Datenbank bekannt machen:

gpg-connect-agent "/datafile /etc/poldi/localdb/keys/D376000124010303000500006B440000" "SCD READKEY --advanced OPENPGP.3" /bye

Schritt [4] – Zum Schluss noch PAM konfigurieren:

nano /etc/pam.d/common-auth
# Nitrokey auth
auth      sufficient                    pam_poldi.so 
# here are the per-package modules (the "Primary" block) 
auth      [success=1 default=ignore]    pam_unix.so nullok_secure
[...]
Dieser Beitrag ist Teil einer Artikelserie:
Du kannst den Blog aktiv unterstützen! Mitmachen ➡
Ähnliche Beiträge
Microblog
16. September 2021

Nachhaltige/Grüne IT – Digitaler Schutzschild Teil14

Vorwort Ich nenne die Serie »digitaler Schutzschild«, weil alle Maßnahmen in der Summe dazu beitragen, die Privatsphäre und auch Sicherheit…
GnuPG-Key
10. Juni 2019

GnuPG-Schlüsselerstellung und Smartcard-Transfer – Nitrokey Teil2

Anleitung zur Generierung eines GPG-Schlüsselpärchens inklusive der anschließenden Übertragung auf die sichere Smartcard des Nitrokeys.
Microblog
22. Mai 2021

Browser-Nutzung unter Android – Digitaler Schutzschild Teil1

Vorwort Der vorliegende Microblog ist Auftakt zu einer längeren Serie, in der ich Software/Apps/Hardware vorstelle, die ich alltäglich nutze. Ich…
Microblog
25. Mai 2021

Browser-Nutzung am Desktop – Digitaler Schutzschild Teil2

Vorwort Ich nenne die Serie »digitaler Schutzschild«, weil alle Maßnahmen in der Summe dazu beitragen, die Privatsphäre und auch Sicherheit…
Microblog
5. Juli 2021

Hintergrundaktivität von Android-Apps einschränken – Digitaler Schutzschild Teil10

Vorwort Ich nenne die Serie »digitaler Schutzschild«, weil alle Maßnahmen in der Summe dazu beitragen, die Privatsphäre und auch Sicherheit…
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.