ThinkFinger

Linux.fista
Versio hetkellä 7. tammikuuta 2008 kello 23.51 – tehnyt 82.130.21.168 (keskustelu)
Siirry navigaatioon Siirry hakuun

ThinkFinger on ajuri UPEK/SGS Thomson Microelectronicsin sormenjälkitunnistimelle (lsusb-komennolla näkyy USB ID 0483:2016), joka löytyy joistain Dellin, IBM/Lenovon ja Toshiban kannettavista tietokoneista. Sen avulla on mahdollista korvata salasanan antaminen sormenjäljen tunnistuksella.

Asennus

Thinkfinger löytyy joidenkin jakeluiden, kuten Arch Linuxin, Gentoon, Fedoran ja openSUSEn pakettivarastoista. Debianille löytyy kokeelliset paketit, joista löytyy lisätietoja ThinkWikistä.

Jos pakettia ei löydy omalle jakelupaketillesi, se pitää asentaa kääntämällä lähdekoodista.

Lataa aluksi ThinkFingerin lähdekoodi SourceForgesta ja pura se:

tar xvzf thinkfinger-0.3.tar.gz
cd thinkfinger-0.3

Kääntämistä varten on asennettava paketinhallinnasta seuraavat paketit (nimet saattavat hieman vaihdella jakelupaketista riippuen):

  • gcc
  • libtool
  • pkg-config
  • libusb-deb
  • libpam0g-dev

Kun nämä paketit on asennettu, ThinkFinger käännetään seuraavasti:

./configure --prefix=/usr --sysconfdir=/etc --with-securedir=/lib/security --with-birdir=/etc/pam_thinkfinger
make

Tässä /lib/security on hakemisto, jossa PAM-kirjautumisjärjestelmän moduulit sijaitsevat. Se saattaa vaihdella eri jakeluissa, mutta ainakin Arch Linuxissa, Debianissa, Fedorassa, openSUSEssa ja Ubuntussa se on /lib/security.

Kun ajuri on käännetty, se asennetaan pääkäyttäjänä komennolla

make install
mkdir -p /usr/local/etc/pam_thinkfinger
ldconfig

Testaus

ThinkFingerin toimintaa voi testata sen mukana tulevalla tf-tool-ohjelmalla. Seuraavat komennot vaativat pääkäyttäjän oikeudet: Tallennetaan ensin sormenjälki väliaikaiseen tiedostoon komennolla

tf-tool --acquire

Nyt tf-tool pyytää sormenjäljen kolmesti ja tallentaa sen sitten väliaikaiseen tiedostoon. Nyt sormenjäljen tunnistusta voi kokeilla komennolla

tf-tool --verify

Jolloin tf-tool ilmoittaa, vastaako sormenjälki edellä tallennettua.


Salasanan korvaaminen sormenjäljellä

Todellista hyötyä sormenjälkitunnistimesta on, kun sillä voidaan korvata käyttäjän salasana. Sitä varten kirjautumisjärjestelmä (PAM) on asetettava käyttämään ThinkFingeriä.

Muokkaa tiedostoa /etc/pam.d/common-auth (Fedorassa ja Gentoossa /etc/pam.d/system-auth) ja lisää rivi

auth sufficient pam_thinkfinger.so	 

Ennen kaikkia rivejä, joilta löytyy merkintä pam_unix.so ja pam_unix2.so. Jos tiedostosta ei löydy mainintaa pam_unix2.so:sta, lisää auth required -rivin loppuun määre try_first_pass:

auth required pam_unix.so try_first_pass	 

Nyt tiedoston pitäisi näyttää suunnilleen seuraavalta

	 
auth sufficient pam_thinkfinger.so	 
auth required pam_unix.so nullok_secure try_first_pass	 

Ja esim. openSusessa seuraavalta:

	 
auth required pam_env.so	 
auth sufficient pam_thinkfinger.so	 
auth required pam_unix2.so	 

Nyt kun PAM osaa käyttää sormenjälkitunnistinta, on seuraavaksi kerrottava ThinkFingerille käyttäjien sormenjäljet seuraavasti (pääkäyttäjänä):

tf-tool --add-user käyttäjätunnus	 

Jonka jälkeen tf-tool kysyy sormenjäljen kolmesti. Nyt esimerkiksi sudoa käytettäessä ja kirjautumisen yhteydessä salasana pitäisi voida korvata sormenjäljellä.

Gksudo, KDM ja näytönsäästäjä

ThinkFingerin kanssa esiintyy ongelmia KDE:n graafisen kirjautumisohjelman (KDM), GNOMEn graafisen sudo-ohjelman (gksudo) ja näytönsäästäjän kanssa. Lisätietoja näistä löytyy ThinkWikin artikkelista.

Aiheesta muualla