If-Koubou

Kā pieteikties savā Linux darbvirsmā, izmantojot Google autentifikatoru

Kā pieteikties savā Linux darbvirsmā, izmantojot Google autentifikatoru (Kā)

Lai iegūtu papildu drošību, varat pieprasīt uz laiku balstītu autentifikācijas pilnvaru, kā arī paroli, lai pieteiktos savā Linux datorā. Šajā risinājumā tiek izmantots Google autentifikators un citas TOTP lietotnes.

Šis process tika veikts Ubuntu 14.04 ar standarta Unity darbvirsmu un LightDM pieteikšanās pārvaldnieku, taču principi ir vienādi lielākajā daļā Linux disku un galddatoru.

Iepriekš mēs parādījām, kā pieprasīt Google autentifikatoru uz attālinātu piekļuvi, izmantojot SSH, un šis process ir līdzīgs. Tam nav nepieciešama lietotne Google Authenticator, bet tā darbojas kopā ar jebkuru saderīgu lietotni, kas īsteno TOTP autentifikācijas shēmu, tostarp Authy.

Instalējiet Google autentifikatora PAM

Tā kā, iestatot šo pieeju SSH piekļuvei, mums vispirms būs jāinstalē atbilstoša PAM ("plug-in-authentication module") programmatūra. PAM ir sistēma, kas ļauj mums pieslēgt dažādas autentifikācijas metodes uz Linux sistēmu un pieprasīt no tām.

Uz Ubuntu šī komanda instalēs Google autentifikatora PAM. Atveriet Terminal logu, ierakstiet šādu komandu, nospiediet Enter un ievadiet savu paroli. Sistēma lejupielādēs PAM no jūsu Linux izplatīšanas programmatūras krātuvēm un instalēs to:

sudo apt-get instal libpam-google-autentifikators

Arī citiem Linux sadales failiem ir viegli pieejamu šo paketi - atveriet Linux izplatīšanas programmatūras krātuves un veiciet to meklēšanu. Sliktākajā gadījumā var atrast PAM moduļa pirmkodu GitHub un pats to apkopot.

Kā jau minējām iepriekš, šis risinājums nav atkarīgs no Google serveriem, kas zvana uz mājām. Tas īsteno standarta TOTP algoritmu un to var izmantot pat tad, ja jūsu datoram nav piekļuves internetam.

Izveidojiet autentifikācijas atslēgas

Tagad jums būs jāizveido slepenā autentifikācijas atslēga un jāievada savā lietotnē Google Authenticator (vai līdzīga) savā tālrunī. Vispirms piesakieties savā lietotāja kontā savā Linux sistēmā. Atveriet termināla logu un palaidiet google autentifikators komandu Tips y un sekojiet norādījumiem šeit. Tas izveidos īpašu failu pašreizējā lietotāja konta katalogā, izmantojot Google autentifikatora informāciju.

Tiks veikta arī šī divu faktoru verifikācijas koda iegūšana Google autentifikatorā vai līdzīgā TOTP lietotnē viedtālrunī. Jūsu sistēma var ģenerēt QR kodu, kuru jūs varat skenēt, vai arī to varat manuāli ievadīt.

Noteikti pierakstiet avārijas scratch kodus, kurus jūs varat izmantot, lai pieteiktos, ja pazaudējat savu tālruni.

Izmantojiet šo procesu katram lietotāja kontam, kurā tiek izmantots jūsu dators. Piemēram, ja esat vienīgā persona, kas izmanto jūsu datoru, to var izdarīt tikai savā parastajā lietotāja kontā. Ja jums ir kāds cits, kurš izmanto jūsu datoru, jūs vēlaties, lai tie pierakstītos savā kontā un izveidotu atbilstošu divu faktoru kodu savam kontam, lai viņi varētu pieteikties.

Aktivizēt autentifikāciju

Lūk, kur lietas kļūst nedaudz dicy. Kad mēs paskaidrojaim, kā iespējot divfaktoru SSH logins, mēs to pieprasījām tikai SSH logins. Tas nodrošināja, ka joprojām varat pieteikties lokāli, ja zaudējat autentifikācijas lietotni vai ja kaut kas noticis nepareizi.

Tā kā mēs nodrošināsim divu faktoru autentifikāciju vietējiem logins, šeit ir potenciālas problēmas. Ja kaut kas notiks nepareizi, iespējams, nevarēsit pieteikties. Paturot to prātā, mēs jums pavērsim iespēju to izdarīt tikai grafiskiem pieteikumvārdiem. Tas jums dod avārijas lūku, ja tas jums nepieciešams.

Iespējojiet Google autentifikatoru grafiskiem logins Ubuntu

Jūs vienmēr varat iespējot divpakāpju autentifikāciju tikai grafiskiem pieteikšanās gadījumiem, izlaižot prasību, kad piesakāties no teksta uzvednes. Tas nozīmē, ka jūs varētu viegli pārslēgties uz virtuālo termināli, pieteikties tajā un atgriezt izmaiņas, tādēļ Gogole Authenciator nebūtu nepieciešams, ja rodas problēma.

Protams, tas atver caurumu jūsu autentifikācijas sistēmā, taču uzbrucējs, kuram ir fiziska piekļuve jūsu sistēmai, jebkurā gadījumā to var izmantot. Tāpēc divu faktoru autentifikācija ir īpaši efektīva, lai attālināti ievadītu datus, izmantojot SSH.

Lūk, kā to izdarīt Ubuntu, kurā tiek izmantots LightDM pieteikšanās pārvaldnieks. Atveriet LightDM failu rediģēšanai, izmantojot šādu komandu:

sudo gedit /etc/pam.d/lightdm

(Atcerieties, ka šie konkrētie pasākumi darbosies tikai tad, ja jūsu Linux izplatīšana un darbvirsma izmantos LightDM pieteikšanās pārvaldnieku.)

Faila beigās pievienojiet šādu rindiņu un pēc tam saglabājiet to:

auth vajadzīgs pam_google_authenticator.so nullok

Beigās "nullok" bits ļauj sistēmai ļaut lietotājam pieslēgties, pat ja viņiem nav palaistu Google autentifikācijas komandu, lai iestatītu divu faktoru autentifikāciju. Ja viņi to ir iestatījuši, viņiem būs jāievada laika baesd kods - citādi tie nebūs. Noņemiet "nullok" un lietotāju kontus, kuri nav iestatījuši Google autentifikatora kodu, nevarēs pieteikties grafiski.

Nākamajā reizē, kad lietotājs piesakās grafiski, viņiem tiks prasīts ievadīt viņu paroli un pēc tam pieprasīt, lai viņu tālrunī parādītu pašreizējo verifikācijas kodu. Ja viņi neievada verifikācijas kodu, viņiem nebūs atļauts pierakstīties.

Šim procesam vajadzētu būt diezgan līdzīgam citos Linux sadalījumos un darbvirsmā, jo visbiežāk Linux darbstacijas sesiju pārvaldnieki izmanto PAM. Iespējams, jums vienkārši būs jārediģē cits fails ar kaut ko līdzīgu, lai aktivizētu atbilstošo PAM moduli.

Ja izmantojat mājas direktoriju šifrēšanu

Vecāki Ubuntu izlaidumi piedāvāja vienkāršu "mājas mapju šifrēšanu", kas šifrēja visu jūsu mājas direktoriju, līdz jūs ievadījāt savu paroli. Konkrēti, tas izmanto ecryptfs.Tomēr, tā kā PAM programmatūra ir atkarīga no Google Authenticator faila, kas saglabāts jūsu vietējā direktorijā pēc noklusējuma, šifrēšana traucē PAM lasīt failu, ja vien jūs pirms tā neesat pārliecinājies, ka tas ir pieejams nešifrētā formā. Konsultējieties ar README vairāk informācija par šīs problēmas novēršanu, ja jūs joprojām izmantojat novecojušās mājas direktoriju šifrēšanas opcijas.

Ubuntu mūsdienu versijās tā vietā tiek piedāvāta pilna diska šifrēšana, kas labi darbosies ar iepriekšminētajām opcijām. Jums nav jādara kaut kas īpašs

Palīdzība, tā ir salauzta!

Tā kā mēs to izdarījām tikai grafiskiem pieteikumvārdiem, tas būtu viegli atspējot, ja tas rada problēmu. Nospiediet taustiņu kombināciju, piemēram, Ctrl + Alt + F2, lai piekļūtu virtuālam terminālim un piesakieties tur ar savu lietotājvārdu un paroli. Pēc tam varat izmantot komandu, piemēram, sudo nano /etc/pam.d/lightdm, lai atvērtu failu rediģēšanai termināla teksta redaktorā. Izmantojiet mūsu ceļvedi Nano, lai noņemtu līniju un saglabātu failu, un jūs varēsiet vēlreiz pierakstīties.

Varat arī pieprasīt, lai Google autentifikators būtu nepieciešams citiem veida pieteikšanās veidiem - iespējams, pat visiem sistēmas logins -, pievienojot rindu "auth required pam_google_authenticator.so" citiem PAM konfigurācijas failiem. Esi uzmanīgs, ja to darāt. Un atcerieties, jūs varat pievienot "nullok", lai lietotāji, kas nav izgājuši iestatīšanas procesu, joprojām var pieteikties.

Papildu dokumentāciju par to, kā lietot un iestatīt šo PAM moduli, var atrast programmatūras README failā GitHub.