PAM_USB,拿 USB 隨身碟做 Linux OS 登入驗證裝置

我曾想拿身邊這些 Smart Card,像是健保卡或金融卡等 IC 卡,來做登入憑證。就是只要插卡就讓我登進電腦、拔卡就自動關門關窗上鎖,無論是自用的 Linux 機還是辦公室的 Windows 機都想這樣玩看看。不過一來 EZ100-PU 出品公司放的驅動程式是 .so 的 binary 型態,我不想裝在正式的機器上(基於同樣的理由,單位買的 Juniper VPN 雖然有提供 Linux client,但是我同樣不想裝,資訊室同事應該會覺得我很病態加變態…),甚至想參考 CCID 支援列表,換一台比較「透明」點的讀卡機;二來在 Windows 下提供的解決方案似乎一個比一個更麻煩,麻煩到可以讓我打消此意。

於是我換個方向想,打算用 USB 隨身碟來做驗證裝置。

在 Arch Linux 下,可裝 pam_usb。其它的 Linux OS,晚近的版本應該都預設支援 PAM,無論有無現成套件或自己去 PAM_USB 官網抓原始碼回來編譯,總之先把 PAM_USB 裝起來再說。接著再參考 [Linux authentication login with USB device] 以及 [doc:quickstart [pam_usb]],新增裝置以及對應帳號,修改 /etc/pam.d 底下的 gdm, gnome-screensaver。重開機測試,成功。

因為是多重驗證機制的關係,所以不用擔心 USB Key 掉了就整台電腦要死掉了(←大叔的文字冷笑點),還是可以用密碼驗證。

CC BY-SA 4.0 This work is licensed under a Creative Commons Attribution-ShareAlike 4.0 International License.

One thought on “PAM_USB,拿 USB 隨身碟做 Linux OS 登入驗證裝置

Leave a Reply

Your email address will not be published. Required fields are marked *