staging.inyokaproject.org

Da der Artikel "ThinkFinger" im Wiki im Themenbereich "Sicherheit" zu finden ist, denke ich, man sollte zunächst ganz allgemein davor warnen, einen Fingerabdruckscanner als Ersatz für das Passwort zu verwenden, da diese verhältnismäßig leicht umgangen werden können.

Eine ausführliche Erklärung spare ich mir mit Verweis auf http://www.ccc.de/biometrie/fingerabdruck_kopieren.xml. Vor allem das Video ist sehr aufschlussreich!

und ein Passwort umgehe ich auch in fünf Minuten. Wer physischen Zugang zu einem Rechner hat, ist Root. Egal ob Passwort oder Fingerabdruck.

Also ich finde das Booten von einer Live-CD weitaus einfacher, als diesen Bastelkram. Wie im Artikel Lokale Sicherheit beschrieben, ist ein System ohne Komplettverschlüsselung unsicher, sobald jemand unbeobachtet daran herumwerken kann - völlig unabhängig davon, ob es per Passwort oder Fingerabdruck gesichert ist. Gegenüber der Fraktion der Gelegenheitsneugierigen halte ich aber beides für einen wirksamen Schutz.

Wer besonders sicher gehen will, kann ja PAM so umkonfigurieren, dass zur Authentifizierung Passwort und Fingerabdruck verwendet werden. Würde ich aber höchstens für den Login machen. Für sudo könnte das auf Dauer ziemlich nerven.

Ich würde es daher zwar sinnvoll finden, den Link in den Artikel einzufügen, aber lehne einen Hinweis á la

ab. Vielleicht am Ende ein neues Kapitel anfügen, wie man die Sicherheit erhöhen kann. Da kann dann auch rein, dass man die Datei ~/.thinkfinger.bir mit chattr +i schützen sollte, um eine Priviledge Escalation durch Leute zu vermeiden, die kurzfristig Zugriff auf den eingeloggten Account erhalten.

Hallo,

generell sehe ich den Fingerabdruck-Scanner auch eher als Komfortmerkmal (spart Tipperei ☺ ), nicht als echtes Sicherheitsfeature.

Passwort + Fingerabdruck ist zwar schön sicher, dass halten im normalen Betrieb aber 99% der Nutzer sicherlich nicht durch. 😉

Das du den CCC-Artikel auf den Wiki-Artikel anwendest ist IMHO so wie so ein bisschen weit hergeholt. Wer soviel Aufwand betreibt, um deinen Laptop zu Hacken, der hat so viel kriminelle Energie, dass er "einfachere" oder schnellere Methoden kennt, um an deine Daten zu kommen.

Gruß, noisefloor

Was ihr sagt ist sicher richtig, und dass man nur eine LiveCD benötigt um an die Daten zu kommen ist ohnehin logisch. Ich dachte auch mehr daran, dass bei diesen neuen Technologien oft blind eine bessere "Sicherheit" angenommen wird ("mein Fingerabdruck ist ja eindeutig und kann nicht gefälscht werden, das Passwort könnte man hingegen erraten"). Im Prinzip ist mir nur eine Sensibilisierung der Leute dafür wichtig, ob und in welcher Form dass dann ins Wiki gehört überlasse ich euch Profis 😉

Im Fall einer totalverschlüsselten Festplatte wäre halt auf jeden Fall ein Passwort die sicherere Methode (falls Verschlüsselung mittels Fingerabdruck überhaupt möglich ist bzw. irgendwann sein wird)

Danke auf jeden Fall für eure Anworten!

Hallo,

habe die Einleitung mal ergänzt.

Die Verlinkung unter Sicherheit mag etwas irreführend sein, aber es gibt wohl keine bessere Übersichtsseite, auf der der Artikel verlinkt werden kann.

Zum Artikel:

Kann noch jemand ergänzen, wie man PAM konfigurieren muss, damit Fingerabdruck UND Passwort benötigt wird?

Gruß, noisefloor

im Artikel steht getestet für 9.04, zur Installation aber gar nichts, nur für 8.10 und 8.04 ??

scheint aber genauso wie für 8.10 zu gehen, hab's mal ergänzt

Hab die Artikelversion für Jaunty gerade auf Karmic angewendet und alles klappt: GDM-Login, sudo & gksudo 👍

Mein System: Lenovo R61, Karmic 32bit 2.6.31-14

Hallo,

dann spricht eigentlich nichts dagegen, dass du den "getestet"-Tag erweiterst.

Gruß, noisefloor

War schon so frei, danke für den Hinweis.

Und sorry für die vielen edits, irgendwie hatte ich immer 504 Gateway Fehler, oder so... 😳

Auf einem Lenovo T61P mit frischer Installation von Ubuntu 9.10 hat der Eintrag in /etc/pam.d/common-auth nicht funktioniert, der mit

sudo /usr/lib/pam-thinkfinger/pam-thinkfinger-enable 

erzeugt wird.

Geklappt es erst, nachem ich manuell folgenden Inhalt in /etc/pam.d/common-auth eingefügt habe: als erste Zeile (vor anderen auth-Anweisungen):

auth sufficient pam_thinkfinger.so

und als letzte Zeile

auth	[success=1 default=ignore]	pam_unix.so try_first_pass nullok_secure

Mit Hilfe eines Eintrags in /etc/pam.d/gnome-screensaver klappt es nun auch mit dem Bildschirmschoner:

auth    sufficient      pam_thinkfinger.so
auth    required        pam_unix.so try_first_pass nullok_secure

Hey Leute, ich hab ein Prog geschrieben, dass das installieren und einrichten des Fingerprintreaders automatisch erledigt. Könnte das mal jemand ausprobieren? Bei mir funktioniert alles, aber es kann ja sein, dass bei jemand anders es nicht funktioniert.

Datei siehe Anhang, mfg Floh

Hallo,

dass das installieren

Stimmt doch nicht, oder? Die nötigen Kernelmodule werden nicht installiert...

Beim Lenovo R61 funktioniert das Skript sicher nicht, weil das keinen Thomson-Reader hat...

Gruß, noisefloor

noisefloor schrieb:

Hallo,

dass das installieren

Stimmt doch nicht, oder? Die nötigen Kernelmodule werden nicht installiert...

Beim Lenovo R61 funktioniert das Skript sicher nicht, weil das keinen Thomson-Reader hat...

Gruß, noisefloor

Ich versteh nicht, was du mit den Kernelmodulen meinst. Also bei mir funktioniert das ganze Problemlos. Ausserdem wird ja am Anfang des Skripts ausgewertet, ob ein Thomson-Reader dran hängt. Wer keinen solchen hat, muss halt den Treiber installieren und dann das Prog ausführen.

mfg Floh

Ich selber hab den Fingerprint-Reader zwar noch unter Hardy laufen, aber ich denke, dass das so wie in dem Artikel beschrieben eher umständlich ist. Wenn man zuerst die Gruppenzugehörigkeit festlegt, sollte man das tf-tool auch ohne sudo ausführen können, und dann kann man sich die chown- und chmod-Befehle komplett sparen.

Außerdem: groupadd und gpasswd sind Low-Level-Tools. adduser/addgroup ist besser, weil man z.B. mit folgendem Aufruf eine passende GID aus dem unteren Bereich verwendet:

sudo addgroup --system fingerprint
sudo adduser $USERNAME fingerprint