Autenticazione via token con PAM USB: differenze tra le versioni

{{Versioni compatibili}}

{{Box | Da controllare/verificare | Resta da testare il funzionamento con keyrings, display manager (in particolare quelli diversi da gdm, per quanto il funzionamento dovrebbe essere lo stesso ed è testato nell'articolo dell'e-zine), ssh (se configurato con richiesta password - non una buona idea, ma va beh) e altri servizi non elencati che si appoggiano su PAM. Vedere i file in ''/etc/pam.d''.

Non è ancora stato trattato l'uso di ''pamusb-agent'', per cui comunque si è già occupata l'e-zine e non ci sarebbe niente da aggiungere.}}

L'autenticazione a un servizio del sistema, che si tratti del login a una console o un display manager oppure di una qualunque operazione per cui siano necessari determinati privilegi (su, sudo, ecc... ), è gestita in maniera centralizzata dalla libreria PAM e solitamente effettuata mediante la richiesta di una parola chiave segreta (''password'') associata all'utente.

PAM presenta tuttavia un'architettura molto flessibile, che può essere estesa da altri moduli software. In particolare '''libpam-usb''' consente l'autenticazione via token grazie a una pendrive su porta USB, sulla quale verrà conservata una one-time password aggiornata a ogni nuova autenticazione. Il modulo una volta installato può essere configurato in modo sia da rappresentare un ulteriore requisito per l'autenticazione, sia da sostituire la richiesta di password per una maggiore comodità.

 

L'uso combinato di due diverse forme di autenticazione è molto diffuso in ambienti professionali dove la sicurezza ricopre un'importanza critica, e l'uso di ''libpam-usb'' e di una comune chiavetta USB possono rappresentare una soluzione molto economica e alla portata di tutti.

Per maggiori dettagli riguardo PAM e ''libpam-usb'' rimando all'articolo di pmate e Aki uscito nel [http://e-zine.debianizzati.org/web-zine/numero_4/?page=48 numero 4 dell'e-zine]. In questa guida vedremo solo come cambiare il comportamento di tutto ciò che si appoggia a tale libreria, in modo consistente anche in presenza di aggiornamenti del sistema o uso di altri moduli, senza mai modificare direttamente i file nella directory ''/etc/pam.d'', anche se così si rinuncia a una maggiore possibilità di personalizzazione.

== Installazione ==

L'unico altro requisito è la disponibilità di una penna USB, nella quale verranno salvate le password richieste per l'autenticazione nella sessione successiva. Si può utilizzare la stessa per più utenti, anche se la cosa ha senso unicamente se a tali utenti del sistema corrisponde un unico utente fisico, e anche per più utenti di più sistemi, purché con hostname diverso (e per cui ancor più vale la stessa considerazione).

{{Suggerimento | Non è necessario riservarla a tale utilizzo e può essere impiegata anche per altro, date le limitate esigenze di memoria di ''libpam-usb'', ma non è una buona idea per la sicurezza inserire il token quando non richiesto per l'autenticazione, in particolar modo se si prevede che la sua presenza sia sufficiente per l'esecuzione di comandi con privilegi di amministrazione.}}

== Configurazione di pamusb ==

Verrà richiesta una conferma e si potrà scegliere una qualunque tra le memorie USB collegate, che sarà aggiunta al file ''/etc/pamusb.conf''.

Se si desidera disabilitare l'output, che in caso di autenticazione via console o terminale rende chiaro se il modulo USB è stato autenticato o meno, modificare con privilegi di amministrazione i defaults nel file ''/etc/pamusb.conf'', aggiungendoci la riga con quiet:

     <quiet>true</quiet>

Ora ''pamusb'' è configurato, resta da modificare soltanto il comportamento dei file di configurazione di PAM affinché il modulo sia richiamato.

Scelta la policy da adottare tra quelle presentate nelle sottosezioni successive, si tratta di creare con privilegi di amministrazione e il proprio editor preferito il file '''/usr/share/pam-configs/usb''' con il contenuto corrispondente.

Sarà il profilo utilizzato per la generazione automatica dei file di configurazione di default di PAM (''/etc/pam.d/common-*''), che non modificheremo manualmente. Per una veloce introduzione sul suo funzionamento, si consideri a titolo esemplificativo il seguente profilo:

* ''Default'' indica se il modulo di default è abilitato (l'impostazione manuale effettuata con ''pam-auth-update'' ha priorità su quella di default, ma se non si cambia nulla verrà mantenuta questa) e lo imposteremo sempre su ''yes'';

* ''Priority'' determina l'ordine in cui verrà caricato il modulo, seguendo un ordinamento decrescente. Considerando che ''pam_unix.so'' che si occupa dell'autenticazione locale mediante richiesta di password ha priorità 256, 257 andrà bene se si vuole che venga richiamato prima il modulo ''pamusb'' mentre 255 altrimenti. In questa guida verrà usato quasi sempre 257;

* ''Auth-Type'' può essere ''Primary'' o ''Additional''. Nel primo caso viene eseguito solo se l'autenticazione non è già stata provvista da un altro modulo (purché sufficiente), nel secondo a prescindere ma non contribuirà all'esito dell'autenticazione. Le priorità tra i due tipi sono risolte separatamente e per i nostri usi andrà sempre bene ''Primary'';

* infine ''Auth'' indica se considerare l'autenticazione del modulo sufficiente (con ''sufficient'') se tutti quelle con priorità maggiore non falliscono, oppure se considerarla un requisito necessario (con ''required'') e richiama il modulo ''pam_usb.so'' (eventualmente passandoci anche dei parametri). È la parte più importante e quella che siamo interessati a modificare.

 

 

 

 

{{Suggerimento | Utilizzare ''requisite'' in luogo di ''required'' per non chiedere la password in caso di fallimento. Con ''required'' tuttavia non si riuscirà a capire quale modulo ha fallito ed è l'impostazione più sicura.}}

In luogo di ''sufficient'' e ''requisite'' per le due modalità già viste si è utilizzata una forma intermedia, che salta l'esecuzione delle regole rimanenti tanto in caso di successo (''success=done'') che di fallimento (''default=die''), in modo che l'autenticazione dipenda soltanto da questo modulo. Per maggiori dettagli si veda il manuale (''man pam.d'').

''pam_succeed_if.so'' è un modulo che ha successo unicamente se la condizione è soddisfatta, e chiaramente uid è uguale a zero soltanto per l'utente root, mentre è maggiore per tutti gli altri. Al posto di ''sufficient'' e ''required'' si è impostata una policy più complessa, e per un'analisi più dettagliata si rimanda alla pagina di manuale (''man pam.d''), nella quale in caso di fallimento del modulo non succede niente (''default=ignore'') ma se la condizione è soddisfatta vengono saltate un certo numero di righe (''success=N'').

Quindi un utente normale soddisferà la prima condizione (''uid > 0'') e salterà una riga (''success=1''), eseguendo direttamente l'ultima che coincide con la ''Alternative mode''. Al contrario root leggerà la seconda riga, corrispondente alla policy per la ''Additional mode''; infatti in caso di successo salterà la terza riga e passerà ai moduli di priorità inferiore (la richiesta di password) mentre in tutti gli altri casi l'autenticazione fallirà (''default=bad''). Impostare ''default=die'' in luogo di ''default=bad'' se si vuole far capire all'utente che il fallimento è dovuto alla mancata autenticazione USB.

{{Box | Sudo | È da notare che con sudo verrà usata la policy dipendente dalla password richiesta, di default quella dell'utente e quindi si utilizzerebbe una modalità ''Alternative''.

 

Si può però cambiare questo comportamento, sempre che si sia abilitato sudo, aggiungendo ''targetpw'' ai Defaults per mezzo di visudo, in modo che venga richiesta la password dell'amministratore anziché quella dell'utente. Al solito la cosa ha senso solo se a loro corrisponde la stessa persona fisica, altrimenti è meglio dirigersi verso la modalità ''Additional''.

 

Infine i comandi permessi con il tag ''NOPASSWD:'' saranno eseguibili come sempre senza alcuna forma di autenticazione.}}

Se è deselezionata, spuntare la casella di "USB authentication", lasciare le altre come sono e confermare su "Ok". Verranno rigenerati i file con prefisso "''common-''" nella directory ''/etc/pam.d'', richiamati da (quasi) tutti gli altri file di configurazione.

 

 

Per controllare se abbiamo fatto giusto, usiamo ''pamusb-check'' e il nome utente da verificare al posto di NOME_UTENTE:

Se abbiamo disabilitato l'output non restituirà niente a schermo, controlliamo allora il suo valore di uscita (0 significa tutto ok, qualunque altro valore che l'autenticazione è fallita) eseguendo questo comando '''subito dopo''' il precedente, dato che restituisce il valore di ritorno dell'ultimo comando eseguito:

Proviamo tutti gli utenti, e in particolare root se utilizziamo una modalità diversa dall'''Alternative''.

 

È sufficiente eseguire ''pam-auth-update'':

Per eliminare i pacchetti installati dal sistema è prima necessario rimuovere il file ''/usr/share/pam-configs/usb'' che è stato creato in fase di configurazione e aggiornare PAM, in modo che ''pamusb'' non sia più richiamato nelle prossime autenticazioni:

<pre># rm /usr/share/pam-configs/usb && pam-auth-update</pre>

Soltanto poi sarà possibile disinstallarlo dal sistema:

<pre># apt-get remove pamlib-usb pamusb-tools</pre>

<pre># apt-get purge pamlib-usb pamusb-tools</pre>

Infine per completare l'opera di pulizia del sistema si può eliminare manualmente anche la directory ''.pamusb'' nella home di tutti gli utenti aggiunti a questo modulo.

 

* [http://pamusb.org/ Sito ufficiale del modulo pamusb]

:[[Utente:HAL 9000|HAL 9000]]