ThinkFinger
ThinkFinger on ajuri UPEK/SGS Thomson Microelectronicsin sormenjälkitunnistimelle (lsusb-komennolla näkyy USB ID 0483:2016), joka löytyy joistain Dellin, IBM/Lenovon ja Toshiban kannettavista tietokoneista. Sen avulla on mahdollista korvata salasanan antaminen sormenjäljen tunnistuksella.
Asennus
Thinkfinger löytyy joidenkin jakeluiden, kuten Arch Linuxin, Gentoon, Fedoran ja openSUSEn pakettivarastoista. Debianille löytyy kokeelliset paketit, joista löytyy lisätietoja ThinkWikistä.
Jos pakettia ei löydy omalle jakelupaketillesi, se pitää asentaa kääntämällä lähdekoodista.
Lataa aluksi ThinkFingerin lähdekoodi SourceForgesta ja pura se:
tar xvzf thinkfinger-0.3.tar.gz cd thinkfinger-0.3
Kääntämistä varten on asennettava paketinhallinnasta seuraavat paketit (nimet saattavat hieman vaihdella jakelupaketista riippuen):
- gcc
- libtool
- pkg-config
- libusb-deb
- libpam0g-dev
Kun nämä paketit on asennettu, ThinkFinger käännetään seuraavasti:
./configure --prefix=/usr --sysconfdir=/etc --with-securedir=/lib/security --with-birdir=/etc/pam_thinkfinger make
Tässä /lib/security on hakemisto, jossa PAM-kirjautumisjärjestelmän moduulit sijaitsevat. Se saattaa vaihdella eri jakeluissa, mutta ainakin Arch Linuxissa, Debianissa, Fedorassa, openSUSEssa ja Ubuntussa se on /lib/security.
Kun ajuri on käännetty, se asennetaan pääkäyttäjänä komennolla
make install mkdir -p /usr/local/etc/pam_thinkfinger ldconfig
Testaus
ThinkFingerin toimintaa voi testata sen mukana tulevalla tf-tool-ohjelmalla. Seuraavat komennot vaativat pääkäyttäjän oikeudet: Tallennetaan ensin sormenjälki väliaikaiseen tiedostoon komennolla
tf-tool --acquire
Nyt tf-tool pyytää sormenjäljen kolmesti ja tallentaa sen sitten väliaikaiseen tiedostoon. Nyt sormenjäljen tunnistusta voi kokeilla komennolla
tf-tool --verify
Jolloin tf-tool ilmoittaa, vastaako sormenjälki edellä tallennettua.
Salasanan korvaaminen sormenjäljellä
Todellista hyötyä sormenjälkitunnistimesta on, kun sillä voidaan korvata käyttäjän salasana. Sitä varten kirjautumisjärjestelmä (PAM) on asetettava käyttämään ThinkFingeriä.
Muokkaa tiedostoa /etc/pam.d/common-auth (Fedorassa ja Gentoossa /etc/pam.d/system-auth) ja lisää rivi
auth sufficient pam_thinkfinger.so
Ennen kaikkia rivejä, joilta löytyy merkintä pam_unix.so ja pam_unix2.so. Jos tiedostosta ei löydy mainintaa pam_unix2.so:sta, lisää auth required -rivin loppuun määre try_first_pass:
auth required pam_unix.so try_first_pass
Nyt tiedoston pitäisi näyttää suunnilleen seuraavalta
auth sufficient pam_thinkfinger.so auth required pam_unix.so nullok_secure try_first_pass
Ja esim. openSusessa seuraavalta:
auth required pam_env.so auth sufficient pam_thinkfinger.so auth required pam_unix2.so
Nyt kun PAM osaa käyttää sormenjälkitunnistinta, on seuraavaksi kerrottava ThinkFingerille käyttäjien sormenjäljet seuraavasti (pääkäyttäjänä):
tf-tool --add-user käyttäjätunnus
Jonka jälkeen tf-tool kysyy sormenjäljen kolmesti. Nyt esimerkiksi sudoa käytettäessä ja kirkautumisen yhteydessä salasana pitäisi voida korvata sormenjäljellä.
Gksudo, KDM ja näytönsäästäjä
ThinkFingerin kanssa esiintyy ongelmia KDE:n graafisen kirjautumisohjelman (KDM), GNOMEn graafisen sudo-ohjelman (gksudo) ja näytönsäästäjän kanssa. Lisätietoja näistä löytyy ThinkWikin artikkelista.