ThinkFinger

Kohteesta Linux.fi
Siirry navigaatioon Siirry hakuun

ThinkFinger on ajuri UPEK/SGS Thomson Microelectronicsin sormenjälkitunnistimelle (lsusb-komennolla näkyy USB ID 0483:2016), joka löytyy joistain Dellin, IBM/Lenovon ja Toshiban kannettavista tietokoneista. Sen avulla on mahdollista korvata salasanan antaminen sormenjäljen tunnistuksella.

Asennus[muokkaa]

Thinkfinger löytyy joidenkin jakeluiden, kuten Arch Linuxin, Gentoon, Fedoran, openSUSEn ja Ubuntun pakettivarastoista. Debianille löytyy kokeelliset paketit, joista löytyy lisätietoja ThinkWikistä.

Ubuntu[muokkaa]

Thinkfinger löytyy Ubuntun pakettilähteistä Ubuntun versiosta 8.04 lähtien. Tarvittavat paketit ovat thinkfinger-tools ja libpam-thinkfinger ja ne voi asentaa komennolla

sudo aptitude install thinkfinger-tools libpam-thinkfinger

Ennen Thinkfingerin käyttöönottoa tulee varmistaa, että ytimen moduuli uinput on käytössä. Tämän voi tarkistaa komennolla

lsmod | grep uinput

jos komennon tulosteessa näkyy uinput, on kaikki kunnossa. Muussa tapauksessa tämä moduuli on ladattava käyttöön komennolla

sudo modprobe uinput

Moduulin saa latautumaan automaattisesti käynnistyksen yhteydessä lisäämällä tiedostoon /etc/modules rivin uinput.

Kun tarvittavat paketit on asennettu ja moduuli käytössä, PAMin asetukset saa laitettua kuntoon komennolla

sudo /usr/lib/pam-thinkfinger/pam-thinkfinger-enable

Tämän jälkeen kerrotaan Thinkfingerille sisäänkirjautuneena olevan käyttäjän sormenjälki komennolla

tf-tool --acquire

jonka jälkeen annetaan sormenjälki kolme kertaa ohjeiden mukaan. Jos Thinkfinger antaa virheilmoituksen USB-laitteen käytöstä, koneen uudelleenkäynnistys auttaa.

Kun sormenjälki on annettu, voidaan tunnistamista testata komennolla

tf-tool --verify

Tämän jälkeen salasanan voi korvata sormenjäljellä mm. sisäänkirjautumisikkunassa ja käytettäessä gksudoa ja sudoa.

Lisätietoja löytyy Ubuntun wikistä.

Asennus lähdekoodista[muokkaa]

Jos pakettia ei löydy omalle jakelupaketillesi, se pitää asentaa kääntämällä lähdekoodista.

Lataa aluksi ThinkFingerin lähdekoodi SourceForgesta ja pura se:

tar xvzf thinkfinger-0.3.tar.gz
cd thinkfinger-0.3

Kääntämistä varten on asennettava paketinhallinnasta seuraavat paketit (nimet saattavat hieman vaihdella jakelupaketista riippuen):

  • gcc
  • libtool
  • pkg-config
  • libusb-deb
  • libpam0g-dev

Kun nämä paketit on asennettu, ThinkFinger käännetään seuraavasti:

./configure --prefix=/usr --sysconfdir=/etc --with-securedir=/lib/security --with-birdir=/etc/pam_thinkfinger
make

Tässä /lib/security on hakemisto, jossa PAM-kirjautumisjärjestelmän moduulit sijaitsevat. Se saattaa vaihdella eri jakeluissa, mutta ainakin Arch Linuxissa, Debianissa, Fedorassa, openSUSEssa ja Ubuntussa se on /lib/security.

Kun ajuri on käännetty, se asennetaan pääkäyttäjänä komennolla

make install
mkdir -p /usr/local/etc/pam_thinkfinger
ldconfig

Testaus[muokkaa]

ThinkFingerin toimintaa voi testata sen mukana tulevalla tf-tool-ohjelmalla. Seuraavat komennot vaativat pääkäyttäjän oikeudet: Tallennetaan ensin sormenjälki väliaikaiseen tiedostoon komennolla

tf-tool --acquire

Nyt tf-tool pyytää sormenjäljen kolmesti ja tallentaa sen sitten väliaikaiseen tiedostoon. Nyt sormenjäljen tunnistusta voi kokeilla komennolla

tf-tool --verify

Jolloin tf-tool ilmoittaa, vastaako sormenjälki edellä tallennettua.


Salasanan korvaaminen sormenjäljellä[muokkaa]

Todellista hyötyä sormenjälkitunnistimesta on, kun sillä voidaan korvata käyttäjän salasana. Sitä varten kirjautumisjärjestelmä (PAM) on asetettava käyttämään ThinkFingeriä.

Muokkaa tiedostoa /etc/pam.d/common-auth (Fedorassa ja Gentoossa /etc/pam.d/system-auth) ja lisää rivi

auth sufficient pam_thinkfinger.so	 

Ennen kaikkia rivejä, joilta löytyy merkintä pam_unix.so ja pam_unix2.so. Jos tiedostosta ei löydy mainintaa pam_unix2.so:sta, lisää auth required -rivin loppuun määre try_first_pass:

auth required pam_unix.so try_first_pass	 

Nyt tiedoston pitäisi näyttää suunnilleen seuraavalta

	 
auth sufficient pam_thinkfinger.so	 
auth required pam_unix.so nullok_secure try_first_pass	 

Ja esim. openSusessa seuraavalta:

	 
auth required pam_env.so	 
auth sufficient pam_thinkfinger.so	 
auth required pam_unix2.so	 

Nyt kun PAM osaa käyttää sormenjälkitunnistinta, on seuraavaksi kerrottava ThinkFingerille käyttäjien sormenjäljet seuraavasti (pääkäyttäjänä):

tf-tool --add-user käyttäjätunnus	 

Jonka jälkeen tf-tool kysyy sormenjäljen kolmesti. Nyt esimerkiksi sudoa käytettäessä ja kirjautumisen yhteydessä salasana pitäisi voida korvata sormenjäljellä.

Gksudo, KDM ja näytönsäästäjä[muokkaa]

ThinkFingerin kanssa esiintyy ongelmia KDE:n graafisen kirjautumisohjelman (KDM), GNOMEn graafisen sudo-ohjelman (gksudo) ja näytönsäästäjän kanssa. Lisätietoja näistä löytyy ThinkWikin artikkelista.

Aiheesta muualla[muokkaa]