PAM Modul installieren

sudo pacman -S pam-u2f

Token für User registrieren

mkdir ~/.config/u2f
pamu2fcfg >~/.config/u2f/u2f_keys

SUDO PAM Config (/etc/pam.d/sudo) anpassen (vorm ersten “auth” einfügen)

auth sufficient pam_u2f.so cue prompt authfile=.config/u2f/u2f_keys

So wird bei angestecktem Key und Mapping im Configverzeichnis Touch angefordert und wenn nicht angesteckt/konfiguriert ist auf Kennwort zurückgefallen.

Optional/praktisch:

  • pinverification=1
  • debug

Quellen: yubico, arch-wiki