Existen 3 formas (entre otras) de autenticarse en un sistema, con algo que se (password), algo que tengo (tokens o llaves) o algo que soy (biometrica). Pues bien, esta es una guia que nos muestra como hacer para poder utilizar una memoria USB como llave token para autenticarnos contra un GNU/Linux, teniendo la posibilidad de combinar esta autenticación con una contraseña.
Primero necesitamos instalar el programa PAM USB y sus herramientas:
aptitude install libpam-usb pamusb-tools
pamusb-conf –add-device llaveusb
donde llaveusb es el nombre de fantasia que le pondremos a nuestra memoria-llave. Luego tenemos que añadir el usuario contra el que va a autenticar el pendrive:
pamusb-conf —add-user usuario
Y luego checkeamos si funciono:
pamusb-check usuario
Si todo va bien nos dará un mensaje de “Access granted”, si probamos o nos autenticamos sin la llave nos va a dar un mensaje de “Access Denied”.
También podemos loguearnos automaticamente solo con introducir el token para ello debemos editar el archivo /etc/pam.d/common-authy y añadir la siguiente linea al principio del archivo:
auth sufficient pam_usb.so
Otra opcion interesante es que permite la ejecución automática de comandos al conectar el pendrive, así es que podriamos ejecutar cualquier cosa solo con introducir nuestro pendrive en la pc o server.
Todo esto debe ser utilizado con cualquier pendrive sin que sufra ninguna modificación, ya que el pam checkea los datos del dispositivo hardware, como el fabricante, uuid y número de serie. Lo interesante es que aunque hiciésemos una copia completa del dispositivo, por ejemplo con dd, no obtendríamos una llave correcta para el token configurado.
Visto en: Usemos Linux
hice esto y al reiniciar no e dejo entrar ni con el token ni con contraseña, ahora estoy sin linux no se como entrar puesto creo que modifique mal este archivo /etc/pam.d/common-authy necesito que me ayuden gracias
No probe esto pero rapido se me ocurre si no podes bootear con alguna distro live-cd o algo asi y montar tu unidad y configurar el archivo.