ThinkFinger
ThinkFinger on ajuri UPEK/SGS Thomson Microelectronicsin sormenjälkitunnistimelle (lsusb-komennolla näkyy USB ID 0483:2016), joka löytyy joistain Dellin, IBM/Lenovon ja Toshiban kannettavista tietokoneista. Sen avulla on mahdollista korvata salasanan antaminen sormenjäljen tunnistuksella.
Asennus[muokkaa]
Thinkfinger löytyy joidenkin jakeluiden, kuten Arch Linuxin, Gentoon, Fedoran, openSUSEn ja Ubuntun pakettivarastoista. Debianille löytyy kokeelliset paketit, joista löytyy lisätietoja ThinkWikistä.
Ubuntu[muokkaa]
Thinkfinger löytyy Ubuntun pakettilähteistä Ubuntun versiosta 8.04 lähtien. Tarvittavat paketit ovat thinkfinger-tools ja libpam-thinkfinger ja ne voi asentaa komennolla
sudo aptitude install thinkfinger-tools libpam-thinkfinger
Ennen Thinkfingerin käyttöönottoa tulee varmistaa, että ytimen moduuli uinput on käytössä. Tämän voi tarkistaa komennolla
lsmod | grep uinput
jos komennon tulosteessa näkyy uinput, on kaikki kunnossa. Muussa tapauksessa tämä moduuli on ladattava käyttöön komennolla
sudo modprobe uinput
Moduulin saa latautumaan automaattisesti käynnistyksen yhteydessä lisäämällä tiedostoon /etc/modules rivin uinput.
Kun tarvittavat paketit on asennettu ja moduuli käytössä, PAMin asetukset saa laitettua kuntoon komennolla
sudo /usr/lib/pam-thinkfinger/pam-thinkfinger-enable
Tämän jälkeen kerrotaan Thinkfingerille sisäänkirjautuneena olevan käyttäjän sormenjälki komennolla
tf-tool --acquire
jonka jälkeen annetaan sormenjälki kolme kertaa ohjeiden mukaan. Jos Thinkfinger antaa virheilmoituksen USB-laitteen käytöstä, koneen uudelleenkäynnistys auttaa.
Kun sormenjälki on annettu, voidaan tunnistamista testata komennolla
tf-tool --verify
Tämän jälkeen salasanan voi korvata sormenjäljellä mm. sisäänkirjautumisikkunassa ja käytettäessä gksudoa ja sudoa.
Lisätietoja löytyy Ubuntun wikistä.
Asennus lähdekoodista[muokkaa]
Jos pakettia ei löydy omalle jakelupaketillesi, se pitää asentaa kääntämällä lähdekoodista.
Lataa aluksi ThinkFingerin lähdekoodi SourceForgesta ja pura se:
tar xvzf thinkfinger-0.3.tar.gz cd thinkfinger-0.3
Kääntämistä varten on asennettava paketinhallinnasta seuraavat paketit (nimet saattavat hieman vaihdella jakelupaketista riippuen):
- gcc
- libtool
- pkg-config
- libusb-deb
- libpam0g-dev
Kun nämä paketit on asennettu, ThinkFinger käännetään seuraavasti:
./configure --prefix=/usr --sysconfdir=/etc --with-securedir=/lib/security --with-birdir=/etc/pam_thinkfinger make
Tässä /lib/security on hakemisto, jossa PAM-kirjautumisjärjestelmän moduulit sijaitsevat. Se saattaa vaihdella eri jakeluissa, mutta ainakin Arch Linuxissa, Debianissa, Fedorassa, openSUSEssa ja Ubuntussa se on /lib/security.
Kun ajuri on käännetty, se asennetaan pääkäyttäjänä komennolla
make install mkdir -p /usr/local/etc/pam_thinkfinger ldconfig
Testaus[muokkaa]
ThinkFingerin toimintaa voi testata sen mukana tulevalla tf-tool-ohjelmalla. Seuraavat komennot vaativat pääkäyttäjän oikeudet: Tallennetaan ensin sormenjälki väliaikaiseen tiedostoon komennolla
tf-tool --acquire
Nyt tf-tool pyytää sormenjäljen kolmesti ja tallentaa sen sitten väliaikaiseen tiedostoon. Nyt sormenjäljen tunnistusta voi kokeilla komennolla
tf-tool --verify
Jolloin tf-tool ilmoittaa, vastaako sormenjälki edellä tallennettua.
Salasanan korvaaminen sormenjäljellä[muokkaa]
Todellista hyötyä sormenjälkitunnistimesta on, kun sillä voidaan korvata käyttäjän salasana. Sitä varten kirjautumisjärjestelmä (PAM) on asetettava käyttämään ThinkFingeriä.
Muokkaa tiedostoa /etc/pam.d/common-auth (Fedorassa ja Gentoossa /etc/pam.d/system-auth) ja lisää rivi
auth sufficient pam_thinkfinger.so
Ennen kaikkia rivejä, joilta löytyy merkintä pam_unix.so ja pam_unix2.so. Jos tiedostosta ei löydy mainintaa pam_unix2.so:sta, lisää auth required -rivin loppuun määre try_first_pass:
auth required pam_unix.so try_first_pass
Nyt tiedoston pitäisi näyttää suunnilleen seuraavalta
auth sufficient pam_thinkfinger.so auth required pam_unix.so nullok_secure try_first_pass
Ja esim. openSusessa seuraavalta:
auth required pam_env.so auth sufficient pam_thinkfinger.so auth required pam_unix2.so
Nyt kun PAM osaa käyttää sormenjälkitunnistinta, on seuraavaksi kerrottava ThinkFingerille käyttäjien sormenjäljet seuraavasti (pääkäyttäjänä):
tf-tool --add-user käyttäjätunnus
Jonka jälkeen tf-tool kysyy sormenjäljen kolmesti. Nyt esimerkiksi sudoa käytettäessä ja kirjautumisen yhteydessä salasana pitäisi voida korvata sormenjäljellä.
Gksudo, KDM ja näytönsäästäjä[muokkaa]
ThinkFingerin kanssa esiintyy ongelmia KDE:n graafisen kirjautumisohjelman (KDM), GNOMEn graafisen sudo-ohjelman (gksudo) ja näytönsäästäjän kanssa. Lisätietoja näistä löytyy ThinkWikin artikkelista.