Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Fedora: 2FA mit YubiKey für LUKS

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
Benutzeravatar
gehrke
Moderator
Moderator
Beiträge: 2034
Registriert: 10. Nov 2012, 11:00

Fedora: 2FA mit YubiKey für LUKS

Beitrag von gehrke » 23. Feb 2020, 09:16

Ich bin irritiert, dass es scheinbar kaum Support von Fedora für eine 2-Faktor-Authentifizierung bei LUKS gibt. Namentlich möchte ich einen YubiKey einsetzen, um eine sogenannte 'vollverschlüsselte' Festplatte zu entsperren - also eine Disk, von der gebootet wird.

Eine Recherche zeigt, dass hierzu das Paket 'yubikey-luks' von Cornelius Kölbel verwendet wird (und etwas anderes habe ich auch gar nicht gefunden).
https://blog.mimacom.com/fde-with-yubikey/

Bei Debian-artigen Distros wird das scheinbar auch unterstützt, aber für Fedora sehe ich keine Hinweise auf Support. Und ich bin mir unsicher, an so einer sensiblen Stelle ohne Support durch die Distribution zu agieren.

Kennt jemand den Grund hierfür? Hat jemand hierzu Erfahrungen oder kennt Alternativen?
TNX

Glückauf, gehrke
Keinen Bock mehr auf zentralisierte soziale Netzwerke von US-Konzernen?
Join the fediverse: https://fediverse.party/en/fediverse/

Werbung:
Gräfin Klara
Hacker
Hacker
Beiträge: 515
Registriert: 23. Jun 2008, 20:51

Re: Fedora: 2FA mit YubiKey für LUKS

Beitrag von Gräfin Klara » 23. Feb 2020, 20:18

Hallo,
gehrke hat geschrieben:
23. Feb 2020, 09:16
.. um eine sogenannte 'vollverschlüsselte' Festplatte zu entsperren - also eine Disk, von der gebootet wird.
Was du brauchst ist ein spezieller USB stick, mit dem du bootest und von dem aus du die root Platte entschlüsselst und chrootest.
Und wenn du einen solchen stick hast, dann bietet dir der kernel am stick weitaus mehr Möglichkeiten, als du aus dem yubikey je beziehen kannst.
Der yubikey passt da nicht ins Konzept.
gehrke hat geschrieben:
23. Feb 2020, 09:16
Bei Debian-artigen Distros wird das scheinbar auch unterstützt, aber ...
Ich möchte dir empfehlen, bei allen Angelegenheiten mit Verschlüsselung KEINE Werkzeuge von Distros zu verwenden.
Diese Mechanismen fallen unter die "allgemeine Gültigkeit". Sie erfüllen Auflagen, die unter Druck oder lukrativer Zusammenarbeit enstehen.
Alles was davon abweicht, ist ein großes Problem, natürlich nicht deines. Geh deinen eigenen Weg, der ist sicher. Alles andere ist Zeitverschwendung.

Gruß
Gräfin Klara

Benutzeravatar
gehrke
Moderator
Moderator
Beiträge: 2034
Registriert: 10. Nov 2012, 11:00

Re: Fedora: 2FA mit YubiKey für LUKS

Beitrag von gehrke » 24. Feb 2020, 06:02

Gräfin Klara hat geschrieben:
23. Feb 2020, 20:18
Was du brauchst ist ein spezieller USB stick, mit dem du bootest und von dem aus du die root Platte entschlüsselst und chrootest.
Und wenn du einen solchen stick hast, dann bietet dir der kernel am stick weitaus mehr Möglichkeiten, als du aus dem yubikey je beziehen kannst.
Vielen Dank. Deine Antwort ist etwas unkonkret - in dieser Form kann ich wenig damit anfangen. Welche 'mehr Möglichkeiten' und warum?
Eigentlich suche ich nach einer Möglichkeit, eine bestehende Konfiguration mit 1FA um einen zweiten Faktor zu erweitern. Wie das mit GNU/Linux geht, ist in dem Link grundsätzlich skizziert.
Keinen Bock mehr auf zentralisierte soziale Netzwerke von US-Konzernen?
Join the fediverse: https://fediverse.party/en/fediverse/

Gräfin Klara
Hacker
Hacker
Beiträge: 515
Registriert: 23. Jun 2008, 20:51

Re: Fedora: 2FA mit YubiKey für LUKS

Beitrag von Gräfin Klara » 24. Feb 2020, 19:55

Tut mir Leid, war ein Missverständnis
Zuletzt geändert von Gräfin Klara am 25. Feb 2020, 11:55, insgesamt 1-mal geändert.

Benutzeravatar
gehrke
Moderator
Moderator
Beiträge: 2034
Registriert: 10. Nov 2012, 11:00

Re: Fedora: 2FA mit YubiKey für LUKS

Beitrag von gehrke » 25. Feb 2020, 08:56

Gräfin Klara hat geschrieben:
24. Feb 2020, 19:55
Hallo
Auf einem solchen stick befindet sich ein bootbares Linux, weil:
gehrke hat geschrieben:
24. Feb 2020, 06:02
um eine sogenannte 'vollverschlüsselte' Festplatte zu entsperren - also eine Disk, von der gebootet wird.
du ein Minimalsystem brauchst, um um deine Platte oder die root_partition vor dem chroot zu entschlüsseln und zu prüfen.
Auf diesen notwendigen Umstand geht der Beitrag unter deinem Link ja nicht ein.
Ja, weil der Inhalt des von mir verlinkten Artikels wenig bis nichts mit dem von Dir beschriebenen Verfahren zu tun hat.

Meine Fragen bezogen sich ganz konkret auf die Integration des Yubikeys in Fedora. Es geht in diesem Thread nicht darum, die Partitionierung eines oder alller verwendeten Systeme zu ändern und/oder den grundsätzlichen Boot-Mechanismus zu ändern. Ob eine 'sogenannte' Vollverschlüsselung mit LUKS bei einer unverschlüsselten Boot-Partition problematisch ist, ist hier nicht Topic.

Falls Du das (durchaus interessante) Thema fortführen möchtest, bitte ich Dich, das in einem eigenen Thread zu tun. Gerne kann das Moderatorenteam Deine Beiträge hier auch in einen neuen Thread auslagern. Dann könnnte ich auch dazu beitragen, dass ich durchaus auch ein (von zehn) System habe, bei welchem ich grundsätzlich nur von USB-Stick boote und welche Vor- und Nachteile das hat. Aber hier ist das offtopic.
TNX
Keinen Bock mehr auf zentralisierte soziale Netzwerke von US-Konzernen?
Join the fediverse: https://fediverse.party/en/fediverse/

Antworten