Kā pieteikties savā Linux darbvirsmā ar Google autentifikatoru
Lai iegūtu papildu drošību, varat pieprasīt laika autentifikācijas marķieri, kā arī paroli, lai pieteiktos savā Linux datorā. Šis risinājums izmanto Google autentifikatoru un citas TOTP lietotnes.
Šis process tika veikts ar Ubuntu 14.04 ar standarta Unity darbvirsmu un LightDM pieteikšanās pārvaldnieku, taču principi ir vienādi lielākajā daļā Linux izplatīšanas un galddatoru.
Mēs iepriekš parādījām, kā pieprasīt Google autentifikatoru attālinātai piekļuvei caur SSH, un šis process ir līdzīgs. Tam nav nepieciešama lietotne Google autentifikators, bet tā darbojas ar jebkuru saderīgu lietotni, kas īsteno TOTP autentifikācijas shēmu, tostarp Authy.
Instalējiet Google autentifikatora PAM
Tāpat kā, nosakot SSH piekļuvi, vispirms būs jāinstalē atbilstošā PAM (“pluggable-authentication module”) programmatūra. PAM ir sistēma, kas ļauj pieslēgt dažāda veida autentifikācijas metodes Linux sistēmai un pieprasīt tās.
Ubuntu šādā komandā tiks instalēta Google autentifikatora PAM. Atveriet logu Terminal, ierakstiet šādu komandu, nospiediet taustiņu Enter un norādiet savu paroli. Sistēma lejupielādēs PAM no jūsu Linux izplatīšanas programmatūras krātuvēm un instalēs to:
sudo apt-get instalēt libpam-google-authentator
Citiem Linux izplatījumiem, cerams, šī pakete būs pieejama arī ērtai instalēšanai - atveriet Linux izplatīšanas programmatūras krātuves un veiciet to meklēšanu. Sliktākajā gadījumā jūs varat atrast PAM moduļa avota kodu GitHub un apkopot to pats.
Kā mēs jau iepriekš norādījām, šis risinājums nav atkarīgs no “mājas zvana” Google serveriem. Tā īsteno standarta TOTP algoritmu un to var izmantot pat tad, ja datoram nav piekļuves internetam.
Izveidojiet autentifikācijas atslēgas
Tagad jums būs jāizveido slepena autentifikācijas atslēga un jāievada Google autentifikatora lietotnē (vai līdzīgā) savā tālrunī. Pirmkārt, piesakieties kā savu lietotāja kontu savā Linux sistēmā. Atveriet termināļa logu un palaidiet google-autentifikators komandu. Tips y un sekojiet norādījumiem šeit. Tas izveidos īpašu failu pašreizējā lietotāja konta direktorijā ar Google autentifikatora informāciju.
Jūs arī izjutīsit, kā iegūt šo divfaktoru verifikācijas kodu Google autentifikatorā vai līdzīgā TOTP lietotnē jūsu viedtālrunī. Jūsu sistēma var ģenerēt QR kodu, kuru varat skenēt, vai arī varat to ievadīt manuāli.
Noteikti pierakstiet savus ārkārtas skrāpējuma kodus, kurus varat izmantot, lai pieteiktos, ja pazaudējat tālruni.
Iet caur šo procesu katram lietotāja kontam, kas izmanto datoru. Piemēram, ja jūs esat vienīgā persona, kas izmanto jūsu datoru, varat to izdarīt vienu reizi savā parastajā lietotāja kontā. Ja jums ir kāds cits, kas lieto jūsu datoru, jūs vēlaties, lai tie tiktu pierakstīti savā kontā un izveidotu atbilstošu divu faktoru kodu savam kontam, lai viņi varētu pieteikties.
Aktivizēt autentifikāciju
Lūk, kur lietas nedaudz mazinās. Kad mēs paskaidrojām, kā aktivizēt divfaktoru SSH pieteikšanās, mēs to pieprasījām tikai SSH pieteikšanās. Tas nodrošināja, ka jūs joprojām varat pieteikties lokāli, ja esat pazaudējis autentifikācijas lietotni vai kaut kas noiet greizi.
Tā kā vietējo autorizāciju nodrošināsim divu faktoru autentifikāciju, šeit ir potenciālas problēmas. Ja kaut kas noiet greizi, iespējams, jūs nevarēsiet pieteikties. Paturot to prātā, mēs jūs aizvedīsim, iespējot tikai grafiskos pieteikumus. Tas jums nodrošina aizbēgt lūku, ja tas ir nepieciešams.
Iespējot Google autentifikatoru grafiskiem pieteikumiem Ubuntu
Jūs vienmēr varat iespējot divpakāpju autentifikāciju tikai grafiskām pieteikšanām, izlaižot prasību, kad pierakstāties no teksta uzvednes. Tas nozīmē, ka jūs varētu viegli pārslēgties uz virtuālo termināli, pierakstīties tur un atgriezties pie izmaiņām, lai Gogole Authenciator nebūtu nepieciešama, ja rodas kāda problēma.
Protams, tas atver caurumu autentifikācijas sistēmā, bet uzbrucējs ar fizisku piekļuvi jūsu sistēmai jau var to izmantot. Tāpēc divu faktoru autentifikācija ir īpaši efektīva attāliem pieteikumiem, izmantojot SSH.
Lūk, kā to izdarīt Ubuntu, kas izmanto LightDM pieteikšanās pārvaldnieku. Atveriet LightDM failu rediģēšanai ar šādu komandu:
sudo gedit /etc/pam.d/lightdm
(Atcerieties, ka šīs konkrētās darbības darbosies tikai tad, ja jūsu Linux izplatīšana un darbvirsma izmantos LightDM pieteikšanās pārvaldnieku.)
Pievienojiet faila galam šādu rindu un pēc tam saglabājiet to:
auth obligāti pam_google_authenticator.so nullok
“Nullok” bit beigās norāda sistēmu, lai ļautu lietotājam pieteikties, pat ja viņi nav palaist google-authentator komandu, lai iestatītu divu faktoru autentifikāciju. Ja viņi to ir izveidojuši, viņiem būs jāievada laika koda kods - pretējā gadījumā tie nebūs. Noņemiet “nullok” un lietotāju konti, kas nav iestatījuši Google autentifikatora kodu, nevarēs pieteikties grafiski.
Nākamajā reizē, kad lietotājs piesakās grafiski, viņiem tiks pieprasīta viņu parole un pēc tam tiek pieprasīts, lai pašreizējais verifikācijas kods tiktu parādīts viņu tālrunī. Ja viņi neievada verifikācijas kodu, viņiem nebūs atļauts pieteikties.
Šim procesam vajadzētu būt diezgan līdzīgam citiem Linux izplatītājiem un galddatoriem, jo visbiežāk izmantotie Linux darbvirsmas sesiju vadītāji izmanto PAM. Iespējams, jums vienkārši jāpārveido cits fails ar kaut ko līdzīgu, lai aktivizētu atbilstošo PAM moduli.
Ja izmantojat Home Directory šifrēšanu
Vecākas Ubuntu versijas piedāvāja vienkāršu opciju “mājas mapes šifrēšana”, kas šifrēja visu jūsu mājas direktoriju, līdz ievadāt paroli. Konkrēti, tas izmanto ecryptfs. Tomēr, tā kā PAM programmatūra ir atkarīga no Google autentifikatora faila, kas pēc noklusējuma ir saglabāts jūsu mājas direktorijā, šifrēšana traucē PAM nolasīt failu, ja vien neesat pārliecināts, ka tas ir pieejams nešifrētā sistēmā, pirms piesakāties. informācija par to, kā izvairīties no šīs problēmas, ja jūs joprojām lietojat novecojušās mājas direktoriju šifrēšanas opcijas.
Modernās Ubuntu versijas piedāvā pilnas diska šifrēšanu, kas labi darbosies ar iepriekš minētajām opcijām. Jums nav jādara nekas īpašs
Palīdzība, tā lauza!
Tā kā mēs to tikai iespējojām grafiskiem pieteikumiem, tas būtu viegli atspējot, ja tas rada problēmu. Nospiediet taustiņu kombināciju, piemēram, Ctrl + Alt + F2, lai piekļūtu virtuālajam terminālim un pieteiktos tur ar savu lietotājvārdu un paroli. Pēc tam varat izmantot komandu, piemēram, sudo nano /etc/pam.d/lightdm, lai atvērtu failu rediģēšanai gala teksta redaktorā. Izmantojiet mūsu rokasgrāmatu Nano, lai noņemtu līniju un saglabātu failu, un jūs varēsiet atkārtoti pieteikties.
Varat arī pieprasīt, lai Google autentifikators tiktu pieprasīts cita veida pieteikumvārdiem - iespējams, pat visiem sistēmas pieteikumiem -, pievienojot rindu “obligāti pam_google_authenticator.so” citiem PAM konfigurācijas failiem. Esiet uzmanīgi, ja to darāt. Un atcerieties, ka jūs varat pievienot „nullok”, lai lietotāji, kuri nav izgājuši cauri iestatīšanas procesam, joprojām var pieteikties.
Papildu dokumentāciju par to, kā lietot un iestatīt šo PAM moduli, var atrast programmatūras README failā GitHub.