pam_usb - модуль, що дозволяє налаштувати автентифікацію за допомогою будь якої флешки. Працює це наступним чином: програма записує на флешку 2 Кбайт випадкових даних, що і будуть грати роль ключа. Під час автентифікації програма зчитує з флешки дані та порівнює їх зі збереженими на комп’ютері і пускає у систему якщо дані збігаються.

Попередження

pam_usb не позиціонується як надійний засіб тому що флешку можна просто скопіювати. Доцільно використовувати окрему флешку для користувача і рута.

Встановлення pam_usb

git clone https://github.com/aluzzardi/pam_usb.git
cd pam_usb
make
sudo make install

Налаштування pam_usb

Додаємо на флешку випадкові дані:

sudo pamusb-conf --add-device %шлях_до_флешки%

Вказуємо користувача що буде входити за допомогою флешки:

sudo pamusb-conf --add-user %ім'я_користувача%

Перевіряємо:

sudo pamusb-check %ім'я_користувача%

Додаємо pam_usb у список PAM-модулів додавши у файл /etc/pam.d/common-auth або файл /etc/pam.d/system-auth для Arch Linux та Fedora наступне:

auth sufficient pam_usb.so

Це вмикає автентифікацію лише задопомогою флешки, якщо потрібна двофакторна автентифікація:

auth required pam_usb.so

Тепер для входу знадобиться флешка і пароль.