방금 아래와 같이 잠금 해제를 위해 FIDO2 하드웨어 토큰을 사용하는 LUKS 암호화 시스템 설정을 마쳤습니다.이 블로그 게시물. 하지만 집에서는 보통 하드웨어 토큰을 꽂아두고 여행할 때만 제거합니다. 따라서 누군가 노트북과 삽입된 하드웨어 토큰을 훔쳐도 쉽게 노트북을 부팅하고 디스크의 암호를 해독할 수 있습니다.
이 문제를 해결하기 위해 비밀번호 및 하드웨어 토큰과 함께 2FA를 사용하고 싶지만 지금까지는 비밀번호 + HMAC-SHA1을 사용하는 솔루션만 찾았습니다. 즉, 비밀번호를 챌린지로 사용하고 실제 비밀번호 LUKS에 대한 결과 해시를 저장하므로 이는 FIDO2로 일반화되지 않습니다. FIDO2에서도 2FA를 작동시킬 수 있는 방법이 있나요?
답변1
Systemd에는 버전 248부터 모듈이 있습니다. ~라고 불린다systemd-cryptenroll. FIDO2 스틱의 기능에 따라 2FA에 여러 옵션을 사용할 수 있습니다.
--fido2-with-user-presence=trueFIDO2 스틱을 터치해야 하도록 시스템을 구성합니다.--fido2-with-client-pin=trueFIDO2 스틱이 필요하도록 시스템을 구성하고 PIN을 입력하세요.--fido2-with-user-verification=trueFIDO2 스틱이 필요하고 시스템에 인증되도록 시스템을 구성합니다.
예시 호출은 다음과 같습니다.
systemd-cryptenroll --fido2-device=auto --fido2-with-user-verification=true /dev/sda3
하지만 대체 USB 드라이브나 이미지를 사용해 보시기 바랍니다. FIDO2 키를 실제 장치에 등록하기 전에 모든 것이 제대로 작동하는지 확인하세요.
디바이스에 키를 등록한 후, fido2-device=auto디바이스 옵션 에서 /etc/crypttab.
다양한 예시를 보실 수 있습니다여기.