Yubikey configuración en GNU/Linux

Yubikey en GNU/Linux Debian para gente sin tiempo

Receta básica de instalación y configuración de la llave yubi o Yubikey en GNU/Linux. Incluye los programas para que la llave funcione como autenticador de doble factor y como interfaz PIV (Personal Identity Verification)  smartcard o tarjeta inteligente.

Paquete básico:

sudo apt install libu2f-udev

Copiar el archivo: https://github.com/Yubico/libfido2/blob/main/udev/70-u2f.rules dentro de: /etc/udev/rules.d/

sudo wget -O /etc/udev/rules.d/70-u2f.rules https://raw.githubusercontent.com/Yubico/libfido2/refs/heads/main/udev/70-u2f.rules

Es conveniente reiniciar el equipo para que coja la configuración y es más fácil que andar reiniciando demonios/servicios.

Básicamente para lo que sirve es para que reconozca el dispositivo cada vez que lo conectamos por USB. Esto lo reconocerá como un dispositivo de autenticación U2F en todos los navegadores. Yo lo he probado con Chrome y derivados y Mozilla Firefox.

Programas de usuario para la yubikey en GNU/Linux

  • YubiKey Manager (CLI)
  • YubiKey Personalization Tool (GUI)
  • YubiKey Manager (GUI)
  • Yubico Authenticator
  • Módulo/Librería ykcs11 para Mozilla Firefox
sudo apt install yubikey-manager yubikey-personalization-gui yubikey-manager-qt yubioath-desktop ykcs11

Para que funcione el Firefox, debemos añadir el dispositivo de seguridad desde: Ajustes -> Privacidad y Seguridad -> Dispositivos de seguridad. Ahí click en cargar, nombre: Lo que queramos, por ejmeplo: yubikeyPIV y en ruta: /usr/lib/x86_64-linux-gnu/libykcs11.so

Reiniciamos (por si acaso) el navegador, aunque no debería ser necesario.

A partir de aquí, si accedemos a Ajustes -> Privacidad y Seguridad -> Ver Certificados… con la Yubi insertada en el puerto USB, debería perdirnos un par de veces la clave (si tenemos algún certificado metido) y enseñárnoslos.

Ten en cuenta que no todas las llaves yubi permiten almacenar certificados. En general (y mal explicado) suelen ser las negras las que lo permiten. Es decir a partir de la serie 5. No obstante, mira tu modelo, esta explicación es demasiado vaga y genérica, es sólo para poder distinguir rápidamente las llaves.

PAM (para logearse en el equipo con la llave)

Según la Wikipedia: Pluggable Authentication Modules (PAM) es un mecanismo de autenticación flexible que permite abstraer las aplicaciones y otro software del proceso de identificación.

Básicamente funcionan como capas de una cebolla, pueden poner varios o decir que vale con alguno.

Programas necesarios:

  • libpam-yubico
  • libpam-u2f

Instalación (no entro en su configuración):

sudo apt install libpam-yubico libpam-u2f

Bibliografía web oficial para Yubikey en GNU/Linux

Otras recetas para gente sin tiempo