yubikey

起動時にLUKSボリュームをロック解除した後、FIDO2セキュリティトークンを削除できますか?
yubikey

起動時にLUKSボリュームをロック解除した後、FIDO2セキュリティトークンを削除できますか?

FIDO2セキュリティトークンは、起動時にLinuxコンピュータ上のすべてのディスクを復号化するために使用する必要があります。 systemdはバージョン248からこれを受け入れます。 フルディスク暗号化にLUKSを使用している場合は、起動後にFIDO2セキュリティトークンを削除できますか?または、ディスクの読み取り/書き込み操作に使用できるように接続を維持する必要がありますか? ...

Admin

openscを使用したssh-addの実行に失敗する
yubikey

openscを使用したssh-addの実行に失敗する

PIV認証が必要なサーバーにアクセスするためにUbuntu 20.04を設定しています。次のようにコマンドがssh-add -s /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so失敗します。 Could not add card "/usr/lib/x86_64-linux-gnu/opensc-pkcs11.so": agent refused operation 過去にRSAキーを追加したときにSSHエージェントを起動すると、これらのエラーは解決されましたが、今回は解決されませんでした。 SSHエージェントの終了/開...

Admin

ファイルベースのコンテナ用Yubikeyセキュリティキー
yubikey

ファイルベースのコンテナ用Yubikeyセキュリティキー

Yubikeyセキュリティキーをファイルベースの暗号化コンテナ(VeraCryptなど)の2番目の要素として使用するソリューションがある人はいますか?セキュリティキーはPGPを許可しないことを知っていますが、今は他のキーはありません。 ...

Admin

設定
yubikey

設定

フォローするはいYubiKeyでFIDO2キーを追加する方法はありますが、YubiKeyを使用してコマンドラインからロックを解除する方法がわかりません。指示には起動時のロック解除に関する情報が記載されていますが、これは私が望むものではありません。 設定 128MiBファイルを生成してブロックデバイスにし、loop0LUKSを設定します。 $ dd if=/dev/urandom of=disk.bin bs=1M count=128 128+0 records in 128+0 records out 134217728 bytes (134 MB, 12...

Admin

Yubikeyを使用してRSA復号化を直接実行できるツールはありますか?
yubikey

Yubikeyを使用してRSA復号化を直接実行できるツールはありますか?

私が探しているユースケースは首のないサーバーを開き、ハードウェアキーを使用して「ロック解除」すると、サーバーのスクリプトは私が接続したことを認識し、PINやパスワードなどの要素なしで自動的に使用されます。 これを達成する最も原始的な方法は、サーバーのスクリプトが検索してコンテンツを復号化するために使用できる暗号化されていない生のAESキーを持つUSBサムドライブを持つことです。欠点は、USBスティックをコピーでき、紛失したときに元に戻せないことです。また、スクリプトがUSBドライブを使用している間にドライブを取り外すと、USBドライブ自体のファイルシステムが...

Admin

Yubikeyを動作するYubikeyに置き換えて、git commitに署名します。
yubikey

Yubikeyを動作するYubikeyに置き換えて、git commitに署名します。

私はYubikey 5C Nanoを持っていますが、突然動作が停止したYubikey 4C Nanoを交換しようとしています。私のgitコミットに署名するために使用したいと思います。 5CはUbuntu Linuxシステムにインストールされ、gitコミットフラグは問題ありませんでした。ところで、Linuxコンピュータからyubikeyを削除し(私のMacbook proにあった)4Cを交換したとき、ずっと前のYubikeyを見つけて何も署名できませんでした。 ~/.gnupg/private-keys-v1.dに移動~/.gnupg/private-keys...

Admin

Yubikey PIVはOTPなしでは動作しません。
yubikey

Yubikey PIVはOTPなしでは動作しません。

私はSSHログインにYubikeyを使い始めました。これガイド。 うまくいきますが、YubikeyがOTPを実行できる場合にのみ可能です。私は何度も誤ってキーを押して不要な場所にランダムな文字列を振りかけた後にPIVのみを使用しているので、OTPを無効にできると思いました。 証明書/キーが存在し、動作しています。 $ ykman --version YubiKey Manager (ykman) version: 5.1.0 $ cat /etc/fedora-release Fedora release 38 (Thirty Eight) $ ykman...

Admin

GPGはYubikey秘密鍵を使用してファイルを復号化できません:鍵なし
yubikey

GPGはYubikey秘密鍵を使用してファイルを復号化できません:鍵なし

GPGを使用してファイルの復号化を試みます。秘密鍵は私のYubikeyに保存されていますが、GPGから次のメッセージを受け取りました。 shell> gpg --output test-temp --decrypt git-token.gpg gpg: encrypted with 255-bit ECDH key, ID 38033A6C1F5941E8, created 2022-04-22 "User Name <[email protected]>" gpg: decryption failed: No se...

Admin

ログインするとyubikey-agentが実行されない
yubikey

ログインするとyubikey-agentが実行されない

によると、アクティベーションman configuration.nixはログイン時に開始する必要がservices.yubikey-agentあります。yubikey-agent services.yubikey-agent.enable Whether to start yubikey-agent when you log in. Also sets SSH_AUTH_SOCK to point at yubikey-agent. Note that yubikey-agent will use whatever...

Admin

GPGにOpenPGPカード(YubiKey 5)にあると予想されるキーはありません。
yubikey

GPGにOpenPGPカード(YubiKey 5)にあると予想されるキーはありません。

答えを得ることを願ってhttps://unix.stackexchange.com/a/613772/320598役に立つと思いましたが、役に立たなかったことがわかりました。この質問をした後、非常に似た質問を見つけました。https://stackoverflow.com/q/67001320/6607497)。基本的に同じ問題があり、答えで解決する必要がありますが、そうではありません。 GPGキーをローカルで生成してカードに送信し、キーリングからローカルキーを削除し、公開キー(以前のエクスポートから)を再インポートしました。すべてが大丈夫だと思いました(下...

Admin

コマンドラインまたは他のプログラムでOpenBSD /usr/libexec/auth/login_*を使用する
yubikey

コマンドラインまたは他のプログラムでOpenBSD /usr/libexec/auth/login_*を使用する

これはxyの問題かもしれません。他の方向を教えてください。 LuaプラグインまたはCheckPasswordプログラムを使用してdovecotのpassdbのログインメカニズムを作成しようとしています。究極の目標は、すべてのログインをユーザーとして強制することなく、ハトフィールド用に特別にyubikey OTPを使用できるようにすることです。 こちらの施設が/usr/libexec/auth役に立つと思いました。特に電話をかけると、/usr/libexec/auth/login_yubikey -d usernameパスワードの入力を求められます。認証が成功...

Admin

リビルトユビキダイレクト
yubikey

リビルトユビキダイレクト

だから私は過去数日間成功しなかったままyubikeyパススルーを動作させようとしました。何が間違っているのか、私の設定に何が問題なのかを知っている人はいますか? 設定: 私はUbuntu 18.04をホ​​ストとゲストとして使用しています。 仮想化のためのLibvirt プログラム: USB経由で次のホスト開発部分を使用しています。 <hostdev mode='subsystem' type='usb' managed='yes'> <source> <product id='0x1050'/> &l...

Admin

YubiKey 5 + GPG + ED25519を使用したSSH認証
yubikey

YubiKey 5 + GPG + ED25519を使用したSSH認証

YubiKey 5を使用してED25519秘密鍵を保存します。 OpenSSH_8.2p1サーバー(Ubuntu 20.04)には接続できますが、OpenSSH_8.9p1サーバー(Ubuntu 22.04)には接続できません。次のエラーがあります。 SSHクライアント: sign_and_send_pubkey: signing failed for ED25519 "/home/emeric/.ssh/id_ed25519" from agent: agent refused operation GPGエージェント: sept. 03 18:53:46...

Admin

/etc/pam.d/sshdのベストプラクティス権限
yubikey

/etc/pam.d/sshdのベストプラクティス権限

ファイル権限に関する最善のアドバイスは何ですか/etc/pam.d/sshd? 私は現在持っていて0644/-rw-r--r-- root:root行くのが良いアイデアだと思います600。免責事項:私はsshの2FAとしてyubikeysを使用しているので、私のPAMには次のものが含まれます。 auth required pam_yubico.so id=XXX key=YYY Yubikey は、ファイルを root のみ読み取れるようにキーを秘密にしておくことをお勧めします。一方、鍵が損傷しても攻撃者がYubike...

Admin

~/.ssh/config 一致ホストを作成する方法 * exec は現在のシェルの tty 名を継承しますか?
yubikey

~/.ssh/config 一致ホストを作成する方法 * exec は現在のシェルの tty 名を継承しますか?

私はOS XとYubikeyに保存されているSSH秘密鍵を使用してSSHを介してリモートサーバーに接続しています。 Macがスリープ状態になったり目を覚ましたりするたびに、毎回実行する必要がありますgpg-connect-agent updatestartuptty /bye。この回答~/.ssh/configこのコマンドをこのように入力できるとします。 Match host * exec "gpg-connect-agent updatestartuptty /bye" GPG_TTYただし、コンテキストの環境変数をexec現在のシェルの値に設定する必要...

Admin