[Linux Fingerprint-GUI] uitschakelen sudo mogelijkheden

zondag 24 januari 2016 17:02

Acties:

0 Henk 'm!

Topicstarter

Op verschillende Lenovo'tjes (X220, T420 als voorbeelden) zitten fingeprint readers. Best handig om je laptop te unlocken, maar niet leuk als je er ook root access mee kunt krijgen (door sudo en sudo su). Ik gebruik Fingerprint-GUI.

Dit wil ik graag uitschakelen, maar dan wel de mogelijkheid behouden om mijn laptop te unlocken. Na een tijdje gegoogled te hebben ben ik er nog niet uit gekomen. Verder ben ik niet enorm bekend met dit soort zaken in Linux (gebruik Ubuntu 14.04 en 15.10).

Did you try turning it off and on again?

zondag 24 januari 2016 20:26

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Ubuntu
Linux

Omdat het toch wat specifiek voor Linux is, zet ik je topic door naar NOS. De kans is daar groter dat je mensen met dezelfde software tegenkomt en een mogelijke oplossing hebben.

Commandline FTW | Tweakt met mate

zondag 24 januari 2016 21:16

Acties:

0 Henk 'm!

narotic

Ik draai zelf geen Fingerprint-GUI, maar heb je naar de arch wiki gekeken? Komt pam_fingerprint-gui.so voor in je /etc/pam.d/sudo? Zo ja, dan is het het proberen waard om die regels eens te commenten.

- = Step Into The Pit | Industrial Strength = -

zondag 24 januari 2016 21:22

Acties:

0 Henk 'm!

computer1_up

Topicstarter

Daar had ik idd al in gekeken, het gekke is nl. dat na de installatie + reboot geen entry's van fingerprint-gui te vinden zijn zoals in het artikel beschreven.

Did you try turning it off and on again?

zondag 24 januari 2016 21:26

Acties:

0 Henk 'm!

narotic

In geen van de files in /etc/pam.d? Afhankelijk van de distro kan de entry in meerdere files in die directory voorkomen.

- = Step Into The Pit | Industrial Strength = -

zondag 24 januari 2016 21:26

Acties:

0 Henk 'm!

Ventieldopje

I'm not your pal, mate!

Ik denk dat pam_fingerprint-gui.so niet voorkomt in /etc/pam.d/sudo maar in een een globaler pam configuratie bestand in pam.d. Probeer dit eens om te kijken waar het allemaal in voorkomt:

code:

1	$ find /etc/pam.d -type f -exec grep -Hn pam_fingerprint {} \;

zondag 24 januari 2016 21:39

Acties:

0 Henk 'm!

narotic

De pam config wordt meegeleverd in de vorm van /usr/share/pam-configs/fingerprint-gui, welke door middel van PAMConfigFrameworkSpec omgezet wordt in de uiteindelijke PAM config (als ik het goed heb begrepen). Met sudo pam-auth-update kun je profiles activeren/deactiveren en ik vermoed dat fingerprint-gui daar ook tussen staat bij jou. Het is misschien netter het op deze manier op te lossen dan handmatig de /etc/pam.d/ config aan te passen, maar ik zie zo 1-2-3 niet hoe je specifiek de sudo mogelijkheden kunt uitschakelen.

[ Voor 5% gewijzigd door narotic op 24-01-2016 21:50 ]

- = Step Into The Pit | Industrial Strength = -

maandag 25 januari 2016 09:40

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Linux
Ubuntu

Ik denk zelfs niet dat dit kan. Het is alsof vragen hoe je kunt voorkomen dat een persoon die sudo rechten heeft deze kan activeren door het ingeven van een wachtwoord. De vingerafdruk is een geldig beveiligsmechanisme net als een wachtwoord en ik zie dan ook niet direct in waarom je er wel mee zou mogen inloggen in de gebruikersaccount maar niet mee zou mogen inloggen op de super rechten. De enige oplossing die ik kan bedenken is de gebruiker sudo rechten ontnemen en als je gebruik wilt maken van sudo dat je dan eerst met su naar een andere user zult moeten gaan die wel sudo rechten heeft.

Misschien dat er nog iets gedaan kan worden met --askpass?

No keyboard detected. Press F1 to continue.

maandag 25 januari 2016 10:10

Acties:

0 Henk 'm!

Kees

Serveradmin / BOFH / DoC

Ventieldopje schreef op zondag 24 januari 2016 @ 21:26:
code:
1
$ find /etc/pam.d -type f -exec grep -Hn pam_fingerprint {} \;

Dat is wel een bijzonder lang commando op 'grep -R fingerprint /etc/pam.d/*' uit te voeren

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

maandag 25 januari 2016 10:13

Acties:

0 Henk 'm!

wimjongil

Ik gebruik fingerprint gui zelf ook, maar wat is er verkeerd aan dat je daarmee root rechten kunt verkrijgen? Het is feitelijk toch gewoon een wachtwoord?

maandag 25 januari 2016 17:49

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Linux
Ubuntu

Blokker_1999 schreef op maandag 25 januari 2016 @ 09:40:
Ik denk zelfs niet dat dit kan. Het is alsof vragen hoe je kunt voorkomen dat een persoon die sudo rechten heeft deze kan activeren door het ingeven van een wachtwoord.

Maar dat kan!

Als je PAM gebruikt (en dat doe je) dan kun je dit soort dingen enorm precies instellen.
Het is wel een tikkie ingewikkeld als je dat nog nooit eerder hebt gedaan maar het kan.
Als deze fingerprint gui gebruik maakt van PAM en sudo en de screenlocker ook dan moet het kunnen.

Kijk eens in /etc/pam.d/sudo en lees dan wat over PAM (pas op, steile leercurve volgt

This post is warranted for the full amount you paid me for it.

maandag 25 januari 2016 18:17

Acties:

0 Henk 'm!

Ventieldopje

I'm not your pal, mate!

Kees schreef op maandag 25 januari 2016 @ 10:10:
[...]

Dat is wel een bijzonder lang commando op 'grep -R fingerprint /etc/pam.d/*' uit te voeren

Tenzij je dotglob aan hebt staan zal dat commando geen verborgen bestanden meenemen in de resultaten. Met grep -R niet vergeten om de opties Hn ook mee te nemen, anders weet je nog niks

Find gebruik ik vaak in combinatie met meerdere commando's, gewoontes

maandag 25 januari 2016 18:47

Acties:

0 Henk 'm!

Da Syntax

In mijn geval heb ik het voor elkaar gekregen (op ubuntu 14.04) door eerst de regel voor fingerprint authenticatie uit de /etc/pam.d/common-auth file te halen en in een losse file in de /etc/pam.d map te zetten.

Vervolgens heb ik die losse file geinclude in /etc/pam.d/lightdm en /etc/pam.d/unity files.

Nu werkt hij bij mij niet meer op sudo en wel nog bij mijn login en lockscreen. Ik weet alleen niet of die unity config file nog op andere plekken dan het lockscreen geldig is.

maandag 25 januari 2016 18:54

Acties:

0 Henk 'm!

Ventieldopje

I'm not your pal, mate!

Wat je wel kan doen als extra maatregel bij sudo is door hem in plaats van sufficient als required te gebruiken. Dan heb je zowel een wachtwoord als vingerafdruk nodig

maandag 25 januari 2016 19:34

Acties:

0 Henk 'm!

Kees

Serveradmin / BOFH / DoC

Ventieldopje schreef op maandag 25 januari 2016 @ 18:17:
[...]

Tenzij je dotglob aan hebt staan zal dat commando geen verborgen bestanden meenemen in de resultaten. Met grep -R niet vergeten om de opties Hn ook mee te nemen, anders weet je nog niks

Find gebruik ik vaak in combinatie met meerdere commando's, gewoontes

True, mijn commando was ook te uitgebreid, 'grep -Rn bla /etc/pam.d' was al genoeg. -n is idd handig, -H is default als er meer bestanden zijn

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

maandag 25 januari 2016 22:34

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Ubuntu
Linux

De -n optie gebruik ik eigenlijk nooit. Als ik weet dat 't in een bestand is, zoek ik 't wel op met vim. En in pam.d staat nou niet echt grote/lange bestanden. Alleen login is 111 regels bij mij. Waarbij 90% comment is. Uiteindelijk is 't maar 35 regels echte config.

Commandline FTW | Tweakt met mate

dinsdag 26 januari 2016 09:41

Acties:

0 Henk 'm!

computer1_up

Topicstarter

Klinkt allemaal heel interessant, ik ga er deze week ergens nog eens mee aan de slag.

Did you try turning it off and on again?

Onderwerpen