Linux

Face Unlock pe Arch Linux (CachyOS) cu Howdy

Posted on #arch linux, #CachyOS, #howdy

Recent, după ce m-am convins că problema cu SSD-ul a fost rezolvată, am decis să instalez CachyOS (Arch Linux) pe laptopul Dell Latitude 5490. Tranziția a fost lină, însă singurul lucru cu care mă obișnuisem între timp în Windows și care îmi lipsea teribil era autentificarea facială, echivalentul celebrului „Windows Hello”.

autentificare sudo pe terminal

Soluția pe Linux este Howdy. Nu îmi era străină, o folosisem anterior pe Debian și Kali, unde instalarea era o simplă formalitate. Însă aici, pe un sistem „bleeding edge” de 2025, echipat cu Python 3.12 și GCC 15, ceea ce știam că e simplu s-a transformat rapid într-o sesiune intensă de depanare.

Iată cum am trecut de erorile de dependențe, cum am compilat librăria dlib corect și cum am rezolvat „dilema Keyring-ului” pentru a avea o experiență fluidă.

1. Problema: Dependențele învechite și Python 3.12

Prima încercare de instalare, folosind comanda clasică paru -S howdy, a eșuat lamentabil. Motivul principal a fost că pachetul standard depinde de pam-python, un modul abandonat de ceva vreme, care nu mai este compatibil cu structurile interne din Python 3.12.

Dependențe Python pentru Howdy

Soluția a fost trecerea la varianta howdy-beta (sau direct din Git). Această versiune vine cu modulul PAM rescris complet în C++, eliminând astfel nevoia de Python la nivelul de autentificare PAM și rezolvând incompatibilitatea.

2. Obstacolul „Dlib”: Războiul dintre GCC 15 și CUDA

După ce am scăpat de eroarea PAM, m-am lovit de un alt zid: compilarea librăriei dlib, care este motorul de recunoaștere facială din spatele Howdy. Eroarea pe care o primeam era destul de criptică, referindu-se la lipsa unei căi (path) complete pentru compilator:

CMake Error: The CMAKE_C_COMPILER: /usr/bin/gcc-14 is not a full path.

Deși laptopul meu este echipat doar cu un Intel iGPU, scriptul de instalare din AUR este destul de agresiv și insistă să compileze suportul CUDA. Să fiu sincer, inițial am ignorat complet mesajul de eroare, deși era destul de explicit în privința lipsei GCC 14. M-am bazat pe aroganța tipică a celui care „știe mai bine” presupunând că scriptul va detecta singur lipsa hardware-ului Nvidia. Evident, m-am înșelat amarnic și am pierdut timp prețios.

cuda howdy

După câteva sesiuni de frustrări intense, în care mă simțeam complet inutil în fața unui terminal care refuza să coopereze, am decis să cobor de pe piedestal și să cer ajutor. Am apelat la Gemini să mă scoată din acest impas, iar AI-ul mi-a oferit soluția instant: trebuia să intervin manual în procesul de compilare.

Rezolvarea a implicat descărcarea, editarea fișierului PKGBUILD pentru python-dlib și compilarea acestuia. A trebuit să forțez compilarea exclusiv pe CPU (folosind instrucțiunile AVX) și să dezactivez explicit suportul CUDA, care era setat pe „Auto/True”, exact cum mi-a sugerat Gemini.

# În PKGBUILD-ul python-dlib:
_build_cpu=1
_build_cuda=0   <-- Modificarea critică sugerată de Gemini

build cuda

Această modificare simplă a redus semnificativ timpul de compilare și a eliminat complet erorile, demonstrând încă o dată că e bine să citești fiecare script cu atenție decât să presupui.

3. Eroarea „Invalid Reference: Origin/Beta”

Când am încercat să instalez efectiv howdy-beta, am primit o eroare care spunea că ramura beta nu există. Se pare că dezvoltatorul a integrat modificările în ramura principală (master) și a șters beta-ul, dar pachetul AUR nu fusese încă actualizat pentru a reflecta această schimbare.

Soluția a fost, din nou, editarea PKGBUILD-ului pentru Howdy. Am schimbat sursa Git pentru a punta către ramura principală:

# Am schimbat din:
git+https://github.com/...#branch=beta

# În:
git+https://github.com/... (implicit HEAD/master)

4. Configurarea Hardware: Găsirea camerei IR

Modelul Dell Latitude 5490 vine cu camere „dual-mode” care apar ca device-uri multiple în directorul /dev/. Howdy încerca implicit să folosească /dev/video0 (camera web color), ceea ce nu este ideal pentru autentificare, fiind nesigur în condiții de lumină slabă.

Folosind comanda v4l2-ctl --list-devices, am identificat senzorul Infraroșu ca fiind pe /dev/video2. Am actualizat apoi fișierul de configurare Howdy:

# sudo howdy config
device_path = /dev/video2

device_path /dev/video

5. Marea Dilemă: Keyring-ul (Gnome/KDE Wallet)

Aici a apărut o problemă de uzabilitate destul de serioasă. Deși Howdy mă autentifica instant cu fața, imediat apărea un popup care îmi cerea „Unlock Login Keyring”.

KDE Wallet cere parola

De ce se întâmplă asta? Howdy validează identitatea (confirmă că ești tu), dar nu poate furniza cheia de decriptare (parola ta) către portofelul de parole al sistemului (Keyring). Aveam două opțiuni clasice, ambele imperfecte:

  1. Keyring fără parolă (Blank): Autentificarea devine fluidă, dar parolele de Chrome sau Wi-Fi stau necriptate pe disc. Dacă laptopul e furat pornit sau iau un malware, totul este expus.
  2. Keyring cu parola de login: Este sigur, dar trebuie să tastez parola lungă și complexă de sysadmin de fiecare dată, ceea ce anulează practic beneficiul autentificării faciale.

Soluția de compromis pe care am ales-o a fost să schimb parola Keyring-ului direct din KDE Wallet Manager cu una diferită de cea de login. Am optat pentru o parolă mult mai simplă — un „dans al degetelor” rapid, compus din 8 caractere — destinată exclusiv deblocării acestui inel de chei.

KDE Wallet Manager

Raționamentul este simplu: acest Keyring păzește, în principal, parolele rețelelor Wi-Fi la care m-am conectat în timp. Chiar dacă cineva ar deduce această parolă simplă trăgând cu ochiul, nu va avea acces la restul conturilor. Acelea sunt toate complexe, unice și gestionate prin Bitwarden, care la rândul său este blindat cu o parolă „zdravănă”, 2FA și, bineînțeles, autentificare prin Howdy. Astfel, evit complet tastarea parolelor critice în public.

Rezultatul final:

  1. Deschid laptopul și Howdy mă loghează fără să ating tastatura.
  2. Sistemul cere deblocarea Keyring, unde introduc rapid codul scurt.
  3. Sunt gata de lucru.

Astfel, nu compromit securitatea contului de root/user (care are în continuare o parolă complexă) și mențin un nivel rezonabil de criptare pentru parolele salvate, eliminând în același timp frustrarea de a tasta „parole kilometrice” într-o cafenea. Iar ca treaba să fie completă, am activat deblocarea facială și la comanda sudo.

De ce atâta paranoia?

Poate vă întrebați de ce am nevoie de atâtea straturi de securitate când aș putea folosi pur și simplu parole clasice și gata. Răspunsul e unul singur: paranoia profesională.

La firmă lucrăm cu clienți foarte sensibili. Deși pe laptopul personal nu stochez niciodată informații despre ei, am avut colegi cărora li s-au furat dispozitivele personale, hoții sperând că acestea sunt autorizate în infrastructura critică. Sună a scenariu de film cu spioni, știu, dar aceasta a fost concluzia anchetelor.

Acest Dell este laptopul meu de „teren”, pe care îl port și îl folosesc frecvent în spații publice. Din aceleași considerente de securitate fizică (precum privirile indiscrete), discul nu este criptat — prefer să nu fiu nevoit să tastez o parolă de decriptare la fiecare pornire, de față cu toată lumea, riscând să fie văzută.

Te-ar putea interesa:

Load OPNsense pe Futro S920

Ce PC să alegi pentru un router DIY cu OPNsense

Posted on
Căști Platronics

Despre „calitatea” produselor Platronics

Posted on Actualizat în
Nothing Phone 3 (a) Lite

Nothing Phone (3a) Lite: stilul Nothing, dar cu compromisuri

Posted on

Spune-ți părerea!

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.