Avantarius
Anmeldungsdatum: 20. April 2009
Beiträge: 69
|
Da der Artikel "ThinkFinger" im Wiki im Themenbereich "Sicherheit" zu finden ist, denke ich, man sollte zunächst ganz allgemein davor warnen, einen Fingerabdruckscanner als Ersatz für das Passwort zu verwenden, da diese verhältnismäßig leicht umgangen werden können. Eine ausführliche Erklärung spare ich mir mit Verweis auf http://www.ccc.de/biometrie/fingerabdruck_kopieren.xml. Vor allem das Video ist sehr aufschlussreich!
|
mgraesslin
Anmeldungsdatum: 8. November 2006
Beiträge: 9183
|
und ein Passwort umgehe ich auch in fünf Minuten. Wer physischen Zugang zu einem Rechner hat, ist Root. Egal ob Passwort oder Fingerabdruck.
|
otzenpunk
Anmeldungsdatum: 17. Oktober 2005
Beiträge: 8691
Wohnort: Hamburg-Altona
|
Also ich finde das Booten von einer Live-CD weitaus einfacher, als diesen Bastelkram. Wie im Artikel Lokale Sicherheit beschrieben, ist ein System ohne Komplettverschlüsselung unsicher, sobald jemand unbeobachtet daran herumwerken kann - völlig unabhängig davon, ob es per Passwort oder Fingerabdruck gesichert ist. Gegenüber der Fraktion der Gelegenheitsneugierigen halte ich aber beides für einen wirksamen Schutz. Wer besonders sicher gehen will, kann ja PAM so umkonfigurieren, dass zur Authentifizierung Passwort und Fingerabdruck verwendet werden. Würde ich aber höchstens für den Login machen. Für sudo könnte das auf Dauer ziemlich nerven. Ich würde es daher zwar sinnvoll finden, den Link in den Artikel einzufügen, aber lehne einen Hinweis á la
Achtung!Waaaaahhh!!! Nicht benutzen! Total unsicher!
ab. Vielleicht am Ende ein neues Kapitel anfügen, wie man die Sicherheit erhöhen kann. Da kann dann auch rein, dass man die Datei ~/.thinkfinger.bir mit chattr +i schützen sollte, um eine Priviledge Escalation durch Leute zu vermeiden, die kurzfristig Zugriff auf den eingeloggten Account erhalten.
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 29041
Wohnort: WW
|
Hallo, generell sehe ich den Fingerabdruck-Scanner auch eher als Komfortmerkmal (spart Tipperei ☺ ), nicht als echtes Sicherheitsfeature. Passwort + Fingerabdruck ist zwar schön sicher, dass halten im normalen Betrieb aber 99% der Nutzer sicherlich nicht durch. 😉 Das du den CCC-Artikel auf den Wiki-Artikel anwendest ist IMHO so wie so ein bisschen weit hergeholt. Wer soviel Aufwand betreibt, um deinen Laptop zu Hacken, der hat so viel kriminelle Energie, dass er "einfachere" oder schnellere Methoden kennt, um an deine Daten zu kommen. Gruß, noisefloor
|
Avantarius
(Themenstarter)
Anmeldungsdatum: 20. April 2009
Beiträge: 69
|
Was ihr sagt ist sicher richtig, und dass man nur eine LiveCD benötigt um an die Daten zu kommen ist ohnehin logisch. Ich dachte auch mehr daran, dass bei diesen neuen Technologien oft blind eine bessere "Sicherheit" angenommen wird ("mein Fingerabdruck ist ja eindeutig und kann nicht gefälscht werden, das Passwort könnte man hingegen erraten").
Im Prinzip ist mir nur eine Sensibilisierung der Leute dafür wichtig, ob und in welcher Form dass dann ins Wiki gehört überlasse ich euch Profis 😉 Im Fall einer totalverschlüsselten Festplatte wäre halt auf jeden Fall ein Passwort die sicherere Methode (falls Verschlüsselung mittels Fingerabdruck überhaupt möglich ist bzw. irgendwann sein wird) Danke auf jeden Fall für eure Anworten!
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 29041
Wohnort: WW
|
Hallo, habe die Einleitung mal ergänzt. Die Verlinkung unter Sicherheit mag etwas irreführend sein, aber es gibt wohl keine bessere Übersichtsseite, auf der der Artikel verlinkt werden kann. Zum Artikel: Kann noch jemand ergänzen, wie man PAM konfigurieren muss, damit Fingerabdruck UND Passwort benötigt wird? Gruß, noisefloor
|
frustschieber
Ehemalige
Anmeldungsdatum: 4. Januar 2007
Beiträge: 4259
|
im Artikel steht getestet für 9.04, zur Installation aber gar nichts, nur für 8.10 und 8.04
?? scheint aber genauso wie für 8.10 zu gehen, hab's mal ergänzt
|
synthor
Anmeldungsdatum: 9. März 2009
Beiträge: Zähle...
Wohnort: Köln
|
Hab die Artikelversion für Jaunty gerade auf Karmic angewendet und alles klappt: GDM-Login, sudo & gksudo 👍 Mein System: Lenovo R61, Karmic 32bit 2.6.31-14
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 29041
Wohnort: WW
|
Hallo, dann spricht eigentlich nichts dagegen, dass du den "getestet"-Tag erweiterst. Gruß, noisefloor
|
synthor
Anmeldungsdatum: 9. März 2009
Beiträge: 6
Wohnort: Köln
|
War schon so frei, danke für den Hinweis. Und sorry für die vielen edits, irgendwie hatte ich immer 504 Gateway Fehler, oder so... 😳
|
bauttt
Anmeldungsdatum: 11. November 2009
Beiträge: Zähle...
|
Auf einem Lenovo T61P mit frischer Installation von Ubuntu 9.10 hat der Eintrag in
/etc/pam.d/common-auth nicht funktioniert, der mit sudo /usr/lib/pam-thinkfinger/pam-thinkfinger-enable
erzeugt wird. Geklappt es erst, nachem ich manuell folgenden Inhalt in /etc/pam.d/common-auth eingefügt habe:
als erste Zeile (vor anderen auth-Anweisungen):
auth sufficient pam_thinkfinger.so
und als letzte Zeile
auth [success=1 default=ignore] pam_unix.so try_first_pass nullok_secure Mit Hilfe eines Eintrags in /etc/pam.d/gnome-screensaver klappt es nun auch mit dem Bildschirmschoner:
auth sufficient pam_thinkfinger.so
auth required pam_unix.so try_first_pass nullok_secure
|
Developer92
Anmeldungsdatum: 31. Dezember 2008
Beiträge: 4101
|
Hey Leute, ich hab ein Prog geschrieben, dass das installieren und einrichten des Fingerprintreaders automatisch erledigt. Könnte das mal jemand ausprobieren? Bei mir funktioniert alles, aber es kann ja sein, dass bei jemand anders es nicht funktioniert. Datei siehe Anhang, mfg Floh
- thinkfingerinstall (1.1 KiB)
- Download thinkfingerinstall
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 29041
Wohnort: WW
|
Hallo,
dass das installieren
Stimmt doch nicht, oder? Die nötigen Kernelmodule werden nicht installiert... Beim Lenovo R61 funktioniert das Skript sicher nicht, weil das keinen Thomson-Reader hat... Gruß, noisefloor
|
Developer92
Anmeldungsdatum: 31. Dezember 2008
Beiträge: 4101
|
noisefloor schrieb: Hallo,
dass das installieren
Stimmt doch nicht, oder? Die nötigen Kernelmodule werden nicht installiert... Beim Lenovo R61 funktioniert das Skript sicher nicht, weil das keinen Thomson-Reader hat... Gruß, noisefloor
Ich versteh nicht, was du mit den Kernelmodulen meinst. Also bei mir funktioniert das ganze Problemlos. Ausserdem wird ja am Anfang des Skripts ausgewertet, ob ein Thomson-Reader dran hängt. Wer keinen solchen hat, muss halt den Treiber installieren und dann das Prog ausführen. mfg Floh
|
otzenpunk
Anmeldungsdatum: 17. Oktober 2005
Beiträge: 8691
Wohnort: Hamburg-Altona
|
Ich selber hab den Fingerprint-Reader zwar noch unter Hardy laufen, aber ich denke, dass das so wie in dem Artikel beschrieben eher umständlich ist. Wenn man zuerst die Gruppenzugehörigkeit festlegt, sollte man das tf-tool auch ohne sudo ausführen können, und dann kann man sich die chown- und chmod-Befehle komplett sparen. Außerdem: groupadd und gpasswd sind Low-Level-Tools. adduser/addgroup ist besser, weil man z.B. mit folgendem Aufruf eine passende GID aus dem unteren Bereich verwendet:
sudo addgroup --system fingerprint
sudo adduser $USERNAME fingerprint
|