Skip to content
Caint logo. It's just text.
  • jakob 🇦🇹 ✅J

    #Ubuntu24 verweigerte heute nach einem Reboot die Nutzung meines #Yubikeys

    Uncategorized ubuntu24 pkcs11 yubikeys
    1
    0 Votes
    1 Posts
    0 Views
    jakob 🇦🇹 ✅J
    #Ubuntu24 verweigerte heute nach einem Reboot die Nutzung meines #Yubikeys.Ich konnte mich als mit #pkcs11 nicht mehr an meinen Servern per ssh anmelden.Eine hängengebliebene Filesystem-Action eines Remote-Filesystems verhinderte offenbar, dass Linux meinen Laptop nicht schlafen schicken konnte... Totem ließ sich nicht beenden vom Kernel... aber das ist eine andere Geschichte. Jedenfalls schaltete sich mein Laptop nicht ab bis der Akku leer war.In einem Anfall seniler Bettflucht hab ich meinen Laptop hergenommen und wollte checken, warum Friendica nur mehr blurred Vorschaubilder anzeigt (Spoiler, das Debuglog eines anderen Services füllte mir die Platte an...) und mein ssh-agent verweigerte das Hinzufügen des Yubikeys. Standhaft.Ein Blick ins Journal ergab dann folgende Seltsamkeit:Sep 12 04:34:02 AET-1931 pcscd[24807]: 99999999 auth.c:143:IsClientAuthorized() Process 36310 (user: 2000) is NOT authorized for action: access_pcsc Sep 12 04:34:02 AET-1931 pcscd[24807]: 00000197 winscard_svc.c:355:ContextThread() Rejected unauthorized PC/SC clientEin Restart von pcscd brachte keine Erlösung.Ein Reboot übrigens auch nicht.Also weitersuchen. Aufgrund der Recherchen einmalopensc-tool --list-readers No smart card readers found.Shice... und was sagt gpg?gpg --card-status gpg: selecting card failed: Kein passendes Gerät gefunden gpg: OpenPGP Karte ist nicht vorhanden: Kein passendes Gerät gefundenDas Journal dazu befragt... scdaemon erkennt meine Smartcards, aber pcscd verweigert meinem User den Zugriff.Also mal als Root... ja, da liefert opensc-tool meine Smartcards.Dann eine noch seltsamere Erkenntnis...In tmux ausgeführt, verweigert pcscd die Abfrage mit opensc-tool, in der normalen Bash gibts aber ein Ergebnis... meine Token sind da.Dann hab ich meinen SafeNet eToken ausprobiert... der ließ sich wunderbar zum ssh-agent hinzufügen... gut, der nutzt aber auch den scdaemon bzw. pcscd nicht (extra Ausnahme in der Config).Schließlich wurde ich auf bugs.debian.org/cgi-bin/bugrep… fündig. Offenbar wurden bei Polkit Rules entfernt, die es Usern erlauben, pcscd/Smartcards zu nutzen... am 8. September beim Update wurde /usr/share/polkit-1/rules.d/sssd-pcsc.rules so geändert, dass die Rule nur mehr für Root zieht. Da wurde das File zumindest aktualisert.Und heut erst wurde die Änderung durch den Zwangsreboot schlagend...Die Lösung war auf jeden Fall folgende:Ich hab ein File /etc/polkit-1/rules.d/40-allow-pcscd.rules# cat 40-allow-pcscd.rules polkit.addRule(function(action, subject) { if ( subject.isInGroup("plugdev") && ( action.id === "org.debian.pcsc-lite.access_pcsc" || action.id === "org.debian.pcsc-lite.access_card" ) ) { return polkit.Result.YES; } return polkit.Result.NOT_HANDLED; });erstellt und meinen User der Gruppe plugdev hinzugefügt. Ab/Anmelden, damit die Gruppenänderung zieht... und schon konnte ich meinen Yubikey wieder für die Authentifikation für ssh-Verbindungen nutzen.Aber warum gpg am Yubikey nicht mehr funktioniert... bleibt mir auch ein Rätsel.