YubiKey - апаратний ключ автентифікації за стандартом Universal 2nd Factor (U2F), що підтримує одноразові паролі, шифрування. Також вміє зберігати статичні паролі для сайтів що не підтримують одноразових паролів.

Встановлення YubiKey

sudo su ­apt­get update ­yapt­get install -y YubiKey­luks YubiKey­personalization scdaemonexit

Після чого можна налаштувати апаратний ключ. На YubiKey є кілька слотів, кожен слот містить ключ/пароль. Перші два слоти підтримують використання паролів.

LUKS

Перевіряємо що використовується потрібний шифрований розділ:

cat /etc/crypttab

Шифрований розділ знаходиться напочатку першого рядку.

Підключаємо YubiKey та ініціюємо використання другого слоту з LUKS:

sudo ykpersonalize -2 -ochal-resp -ochal-hmac -ohmac-lt64 -oserial-api-visible

Тиснемо “Y” щоб прийняти зміни.

Тепер треба оновити систему LUKS для використання слоту 7 ключу YubiKey. Має додатися другий ключ LUKS який не буде працювати без апаратного ключу і паролю:

sudo YubiKey-luks-enroll -d /dev/sda5 -s 7

Тепер необхідно вставити YubiKey та ввести додатковий пароль для використання спільно з LUKS. Введіть новий унікальний пароль та підтвердіть його.

Потім необхідно ввести пароль від диску LUKS. Після чого можна перезавантажувати комп’ютер та перевіряти налаштування.

Якщо це не спрацювало, можна використати пароль диску LUKS, а потім його підсилити.

Переклад і адаптація: spy-soft.net. Безопасность Linux с помощью USB-ключа YubiKey