Eu adicionei o módulo pam do yubikey à minha configuração do sudo pam, e gosto dos resultados - ninguém pode obter acesso de superusuário através do sudo ou do su sem um yubikey.
Deixando de lado o fato de que isso é possivelmente segurança excessiva para uma máquina pessoal, estou tentando descobrir como exigir o yubikey para solicitações de senha de upgrade do admin do gnome também, mas não quero usá-la para efetuar login / desbloqueie a tela, apenas para obter acesso de administrador.
No entanto, quando olho para os módulos pam, vejo gdm-password e login (além de outros, é claro), nenhum dos quais parece ideal para o que eu quero fazer.
É possível fazer isso? Em caso afirmativo, qual módulo pam eu precisaria alterar?
Estou no Ubuntu 18.04, gnome-shell 3.28.1, versão do kernel 4.15.0-23-generic
A maioria das solicitações GUI em uma versão moderna do Ubuntu é para autenticação no Polkit: os prompts de atualização / instalação de software, alteração de configurações em Discos ou Contas de Usuário, etc. Além disso, na linha de comando, usando systemctl (e systemctl baseados em comandos como shutdown , reboot , etc.) também são autenticados via Polkit (se você não usa sudo ). Para todos eles, o stack do PAM aplicável seria o do Polkit: /etc/pam.d/polkit-1 .