Pop!_OS 2FA Boot mit Passwort und Yubikey absichern

Voraussetzungen¶

Ein Pop!_OS das bei der Installation verschlüsselt wurde und noch freie LUKS Slots hat. Das Ziel ist es, einen 2FA zum Passwort hinzuzufügen. Die Authentifizierung erfolgt im Anschluss über ein Passwort und dem Yubikey. Das Passwort, dass bei der Installation vergeben wurde, wird nicht mehr funktionieren und kann entfernt werden.

Einrichtung¶

apt install yubikey-luks
sudo yubikey-luks-enroll -d /dev/nvme0n1p3 -s 1
# Passwort für das 2FA angeben
xxxxxx
# Passwort der LUKS Verschlüsselung angeben
xxxxxx

# Keyscript an cryptdata anhängen
nano /etc/crypttab
# "keyscript=/usr/share/yubikey-luks/ykluks-keyscript" einfügen
cryptdata UUID=xxxxxxx none luks,keyscript=/usr/share/yubikey-luks/ykluks-keyscript
sudo update-initramfs -u

Nachdem die Einstellungen durchgeführt wurden kann neugestartet werden.

Boot Prozess¶

1. Passwort eingeben

2. warten bis der Yubikey angefragt wurde

3. Bootvorgang

Aufräumen¶

Nachdem der Vorgang Erfolgreich durchgeführt wurde, sollte aus Sicherheitsgründen der alte Key gelöscht werden.

sudo cryptsetup luksRemoveKey /dev/sda2
# Enter LUKS passphrase to be deleted:
xxxxx

Links¶

endpointdev.com/blog/2022/03/disk-decryption-yubikey/ support.system76.com/articles/yubikey-login/ 0pointer.net/blog/unlocking-luks2-volumes-with-tpm2-fido2-pkcs11-security-hardware-on-systemd-248.html deisi.github.io/posts/luks_mi_yubikey curius.de/2021/02/yubikey-teil-ii-luks-verschluesselungen-mit-2fa