<div class="gmail_quote">On Fri, Jun 24, 2011 at 1:06 PM, <a href="mailto:general_email@technicalbloke.com">general_email@technicalbloke.com</a> <span dir="ltr"><<a href="mailto:general_email@technicalbloke.com">general_email@technicalbloke.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><u></u>

  <div text="#000000" bgcolor="#ffffff"><div><div></div><div class="h5">

    On 24/06/11 12:22, Robert McKay wrote:

    <blockquote type="cite">

      <pre>On Fri, Jun 24, 2011 at 10:25 AM, Richard W.M. Jones <a href="mailto:rich@annexia.org" target="_blank"><rich@annexia.org></a>wrote:

</pre>

      <blockquote type="cite">

        <pre>On Thu, Jun 23, 2011 at 11:54:42PM +0100, Progga wrote:

</pre>

        <blockquote type="cite">

          <pre>the manufacturer Yubico is claiming [4] that "The YubiKeys are also used

by Fedora’s core team members for securing access to high security

hosts.".  Now my question is, does any one have any experience with

these on a Linux machine?

</pre>

        </blockquote>

        <pre>Yes.  I can access my Fedora account using a Yubikey, from any machine

(Linux or otherwise) that has a USB port.

It doesn't require "Linux support" as such.  The Yubikey acts as a USB

keyboard and sends key strokes for the OTP when you press the button.

</pre>

      </blockquote>

      <pre>Isn't it rather inconvenient having to connect it to a usb port every time

you want to log in? Do you have to disconnect the existing keyboard as well?

Or do all keyboards just automatically get used at once?

Rob

</pre>

    </blockquote>

    <br></div></div>

    They all work together so there's no need to disconnect anything,

    unless you're out of ports. I leave 2 of these (permanently

    connected to my monitor with USB extension leads) in static password

    mode for my main machine and backup machine so I never have to type

    my 32 character admin passwords. Obviously that's not that good an

    idea in an office environment but if physical security isn't an

    issue it's a huge timesaver. Also, naturally, the static password

    mode leaves you vulnerable to keylogging but that's what the OTP

    mode is for.<br></div></blockquote></div><br>Hmm.. how does this actually work then? It seems like possibly it requires you to hand over authentication of your servers to yubikey.. like.. you install a pam module that will do a web service request to <br>

<pre><span class="s"><a href="http://api.yubico.com/wsapi/2.0/verify?id=%d&otp=%s">http://api.yubico.com/wsapi/2.0/verify?id=%d&otp=%s</a></span></pre><br>in order to verify the one time password? That doesn't seem great.. I guess maybe you can run your own web service as well?<br>

<br>Rob<br>