Настроить passwordless login с Yubikey проще парёной репы.
Надо:
-
Установить
libpam_u2f.so
из их репы -
Зарегистрировать свой ключ
pamu2fcfg > ~/.config/Yubico/u2f_keys
-
Добавить в соответствующие конфиги pam (минимум для sudo и для login manager) строчку
auth sufficient pam_u2f.so
перед строкой@include common-auth
-
Добавить правило udev
ACTION=="remove", ATTRS{idVendor}=="1050", RUN+="/bin/loginctl lock-sessions"
И всё, теперь для логина можно тапнуть по ключу или, если ключа нет, ввести пароль. Компьютер блокируется, когда вытаскиваешь ключ из usb порта.
Это репост моего мини-гайда с ЛОРа, раз уж там есть, то пусть и у нас будет.