Adobe Icon

Anleitung: TrustPort FIDO2-Sicherheitsschlüssel für lokale Linux-Authentifizierung

✅ Voraussetzungen

  • Ubuntu oder eine auf Ubuntu basierende Distribution (andere Linux-Distros analog nutzbar)
  • Ein TrustPort FIDO2 Sicherheitsschlüssel mit PIN-Schutz
  • Terminal-Zugriff mit sudo-Rechten
  • (Optional) Root-Rechte für systemweite Installation

1. Software installieren

  1. Öffne das Terminal
  2. Aktualisiere die Paketliste: 
    sudo apt-get update
sudo apt-get install libpam-u2f

2. 2FA als zweite Authentifizierung einrichten

  1. Erstelle das Konfigurationsverzeichnis: 
    mkdir -p ~/.config/TrustPort
  2. Stecke den Schlüssel ein
  3. Registriere den Schlüssel mit:

    Anleitung für lokale Linux-Authentifizierung
    Anleitung für OpenSSH 

    pamu2fcfg > ~/.config/TrustPort/u2f_keys
  4. Verschiebe die Datei ins Systemverzeichnis: 
    sudo mkdir -p /etc/TrustPort
sudo mv ~/.config/TrustPort/u2f_keys /etc/TrustPort/u2f_keys
  5. Öffne die PAM-Konfiguration: 
    sudo nano /etc/pam.d/common-auth
  6. Füge diese Zeile hinzu: 
    auth sufficient pam_u2f.so authfile=/etc/TrustPort/u2f_keys
  7. Speichere und schließe die Datei
  8. Teste, ob bei der Anmeldung eine Touch-Eingabe angefordert wird: 
    su <dein_benutzername>

3. Passwortloser Zugang (optional)

  1. Erzeuge Mapping-Datei mit spezifiziertem Nutzer – z. B. username: 
    pamu2fcfg -u username > /tmp/u2f_mappings
  2. Die Datei zeigt dann den Schlüssel-Eintrag an – nutzbar für zukünftige Anmeldungen
  3. Einbindung erfolgt ebenso über auth sufficient pam_u2f... in der PAM-Konfiguration

→ Jetzt kannst du dich nur mit PIN + TrustPort-Berührung anmelden, ohne Passwort.

🔧 Hinweise & Tipps

  • 2FA vs. Passkey:
    • Standardmäßig fungiert der TrustPort als zweiter Faktor (Login + Touch).
    • Optional: Passwortloser Zugang (PIN + Touch) möglich.
  • Sicherheit: Dein Schlüssel verhindert Phishing – PIN schützt gegen unbefugte Nutzung.
  • Backup: Registriere unbedingt mehrere Schlüssel, falls du einen verlierst.
  • Für andere Distributionen nutze äquivalente PAM-Module und Pfade.

✅ Fazit

Mit wenigen Terminal-Befehlen lässt sich dein FIDO2-Schlüssel als zweite Authentifizierung oder passwortloser Zugang unter Linux einrichten. Das erhöht die Sicherheit deiner lokalen Anmeldung deutlich – gegen Phishing und Passwortdiebstahl.

← Zurück zur Übersicht