Sécurisation de l’authentification sous Linux avec FIDO2 et PAM
Introduction• Ce tutoriel explique comment configurer l’authentification sans mot de passe sous Linux en utilisant des clés de sécurité FIDO2 et le module PAM.
• L’objectif est de protéger l’accès aux comptes en exigeant une authentification matérielle fiable.
Prérequis• Un système sous Ubuntu, Debian ou CentOS.
• Une clé de sécurité compatible FIDO2.
• Un accès root ou sudo.
Méthodologie• Méthode 1 : Intégration avec PAM pour sécuriser les connexions locales.
• Méthode 2 : Configuration de SSH avec une clé FIDO2 pour les connexions distantes.
Étapes pour chaque méthode
Méthode 1 : Utilisation de PAM pour l’authentification locale
Installer les paquets nécessaires :
Code:
sudo apt install libpam-u2f -y
Associer la clé FIDO2 à l’utilisateur :
Code:
mkdir -p ~/.config/Yubico
pamu2fcfg > ~/.config/Yubico/u2f_keys
Configurer PAM pour exiger une clé FIDO2 à la connexion :
Code:
sudo nano /etc/pam.d/sudo
Ajouter la ligne suivante :
Code:
auth required pam_u2f.so
Méthode 2 : Configuration de SSH avec FIDO2 Ajouter la clé FIDO2 comme clé SSH :
Code:
ssh-keygen -t ecdsa-sk -f ~/.ssh/id_ecdsa_sk
Code:
ssh-copy-id -i ~/.ssh/id_ecdsa_sk.pub user@serveur
Code:
sudo nano /etc/ssh/sshd_config
Code:
PubkeyAuthentication yes
Redémarrer le service SSH :
Code:
sudo systemctl restart sshd
Conclusion• L’authentification FIDO2 sous Linux protège efficacement les connexions locales et distantes.
• PAM est recommandé pour l’accès local, tandis que l’intégration SSH est idéale pour l’administration distante.
