Wyłączenie możliwości dezaktywacji 2FA poprzez tryb ratunkowy (linux) - 2FA nie ma sensu?

pytanie zadane 4 marca 2023 w Systemy operacyjne, programy przez wodoyo Początkujący (480 p.)

Testuje rozwiązanie 2FA do weryfikacji logowania przez moduł google PAP

Ale to mozna łatwo wyłączyć poprzez tryb rescure mode. Czy jest możliwość wyłączenia mozliwosci wylaczenia 2FA np na wypadek w przypadku, gdy ktoś ma fizyczny dostęp do maszyny. Tak aby 2FA było zawsze aktywne i nie dalo sie tego w zaden sposob wylaczyc?

1 odpowiedź

odpowiedź 4 marca 2023 przez reaktywny Nałogowiec (40,990 p.)

W linuxie masz np. pam_usb (są już nowsze rozwiązania, pam_usb jest stary, nie wiem czy jest rozwijany, chyba ktoś zrobił jego fork ), którym zabezpieczasz dostęp do komputera. Potrzebujesz hasła i specjalnie przygotowanego pendrive-a, żeby można było odblokować komputer.

Pamiętam, że da się tym zabezpieczyć dostęp do PC (logowanie i po włączeniu screen savera), nie wiem jak inne sprawy. Można zrobić tak że dostęp jest możliwy na hasło lub pendrive, albo wymagać potwierdzenia jednocześnie jednym i drugim. Tu wystarczy zwykły pendrive, ale można też zabezpieczyć kluczem sprzętowym typu Yubikey.

How To Login With A USB Flash Drive Instead Of A Password On Linux Using pam_usb (Fork) - Linux Uprising Blog

https://www.linuxuprising.com/2021/02/how-to-login-with-usb-flash-drive.html

USB authentication for Linux computers and users | Fjordtek - When data matters
https://fjordtek.com/categories/news/2020/usb-authentication-for-linux-computers-and-users/

Linux Security with YubiKey | Yubico
https://www.yubico.com/works-with-yubikey/catalog/linux/

komentarz 4 marca 2023 przez wodoyo Początkujący (480 p.)

czy tego rozwiazania Pam_usb nie da sie przypadkiem wylaczyc rowniez edytujac plik jako sudo w trybie rescue mode?

komentarz 4 marca 2023 przez wodoyo Początkujący (480 p.)

@reaktywny, i dzieki za te linki juz zdazylem wlasnie zaczac czytac o tym i mam takie pytanie odnosnie U2F. Dlaczego nie mozna zabezpieczyc haslem na Yubikey np calej przegladarki?

Bo to bardziej dziala na zasadzie hasel do poszczegolnych stron/serwisow/aplikacji

A nie lepiej gdyby cala przegladarka wymagala klucza?

komentarz 4 marca 2023 przez reaktywny Nałogowiec (40,990 p.)

A co to da? Chronisz bardziej swoją przeglądarkę czy usługi z których korzystasz? :) Załóżmy, że masz konto GMAIL i nie chcesz żeby ktoś czytał czy kasował Twoje wiadomości. To co da zabezpieczenie przeglądarki w takim przypadku?