Linux-työpöydän sisäänkirjautuminen Google Authenticatorilla
Turvallisuuden lisäämiseksi voit vaatia aikapohjaista autentikointimerkkiä ja salasanaa kirjautuaksesi Linux-tietokoneeseen. Tämä ratkaisu käyttää Google Authenticatoria ja muita TOTP-sovelluksia.
Tämä prosessi suoritettiin Ubuntu 14.04: ssa standardin Unity-työpöydällä ja LightDM-kirjautumishallinnalla, mutta periaatteet ovat samat useimmissa Linux-jakeluissa ja työpöydissä.
Olemme aiemmin osoittaneet, miten vaaditaan Google Authenticatoria etäkäyttöön SSH: n kautta, ja tämä prosessi on samanlainen. Tämä ei edellytä Google Authenticator -sovellusta, mutta toimii kaikkien yhteensopivien sovellusten kanssa, jotka toteuttavat TOTP-todennusjärjestelmän, mukaan lukien Authy.
Asenna Google Authenticator PAM
Kuten SSH-käyttöoikeuden määrittämisessä, meidän on ensin asennettava sopiva PAM (”pluggable-authentication module”) -ohjelma. PAM on järjestelmä, jonka avulla voimme liittää erilaisia autentikointimenetelmiä Linux-järjestelmään ja vaatia niitä.
Ubuntuissa seuraava komento asentaa Google Authenticator PAM: n. Avaa Terminal-ikkuna, kirjoita seuraava komento, paina Enter ja anna salasana. Järjestelmä lataa PAM: n Linux-jakelun ohjelmistovarastoista ja asentaa sen:
sudo apt-get asenna libpam-google-authentator
Muiden Linux-jakelujen pitäisi toivottavasti saada tämä paketti myös helpoksi asennettavaksi - avaa Linux-jakelun ohjelmistovarastot ja etsi sitä. Pahimmassa tapauksessa voit löytää PIT-moduulin lähdekoodin GitHubissa ja kääntää sen itse.
Kuten olemme aiemmin huomauttaneet, tämä ratkaisu ei riipu Google-palvelimien "soittamisesta kotiin". Se toteuttaa tavallisen TOTP-algoritmin ja sitä voidaan käyttää myös silloin, kun tietokoneessa ei ole Internet-yhteyttä.
Luo todennusavaimet
Sinun on nyt luotava salainen todennusavain ja annettava se Google Authenticator -sovelluksen (tai vastaavan) sovellukseen puhelimessasi. Kirjaudu ensin käyttäjätiliksi Linux-järjestelmässäsi. Avaa pääteikkuna ja suorita google-authenticator komento. Tyyppi y ja seuraa ohjeita täällä. Tämä luo nykyisen käyttäjätilin hakemistoon erityisen tiedoston Google Authenticator -tietojen kanssa.
Voit myös käydä läpi tämän kahden tekijän vahvistuskoodin hankkimisen älypuhelimesi Google Authenticatoriin tai vastaavaan TOTP-sovellukseen. Järjestelmä voi luoda QR-koodin, jonka voit skannata, tai voit kirjoittaa sen manuaalisesti.
Muista merkitä hätätilanteen tyhjennyskoodit, jotka voit kirjautua sisään, jos menetät puhelimen.
Mene läpi tämä prosessi jokaiselle tietokoneesi käyttävälle käyttäjätilille. Jos olet esimerkiksi ainoa henkilö, joka käyttää tietokonettasi, voit tehdä sen kerran normaalissa käyttäjätilissasi. Jos sinulla on joku muu, joka käyttää tietokonettasi, sinun kannattaa saada ne kirjautumaan omaan tiliinsä ja luoda sopiva kaksikertoinen koodi omaan lukuunsa, jotta he voivat kirjautua sisään.
Aktivoi todennus
Tässä on vähän asioita. Kun selitimme, miten SSH-kirjautumisten kaksitekijä otetaan käyttöön, vaadimme sitä vain SSH-kirjautumisten yhteydessä. Näin varmistit, että voisit vielä kirjautua paikallisesti, jos olet menettänyt todentamisohjelman tai jos jokin meni pieleen.
Koska mahdollistamme kahden tekijän tunnistamisen paikallisille kirjautumisille, tässä on mahdollisia ongelmia. Jos jokin menee pieleen, et ehkä voi kirjautua sisään. Kun tämä on mielessä, käymme tämän avulla vain graafisia kirjautumisia varten. Tämä antaa sinulle luukun, jos sitä tarvitset.
Ota Google Authenticator käyttöön graafisissa kirjauksissa Ubuntuissa
Voit aina ottaa käyttöön kaksivaiheisen todennuksen vain graafisissa kirjautumisissa, ohita vaatimuksen kirjautuessasi tekstiviestistä. Tämä tarkoittaa, että voit helposti siirtyä virtuaaliterminaaliin, kirjautua sinne ja palauttaa muutokset niin, että Gogole Authenciator ei tarvita, jos ilmenee ongelma.
Tämä avaa aukon autentikointijärjestelmässäsi, mutta hyökkääjä, jolla on fyysinen pääsy järjestelmään, voi jo hyödyntää sitä. Siksi kahden tekijän autentikointi on erityisen tehokasta SSH: n kautta tapahtuville etäkirjautumisille.
Näin voit tehdä tämän Ubuntu, joka käyttää LightDM-kirjautumistunnusta. Avaa LightDM-tiedosto muokattavaksi seuraavalla komennolla:
sudo gedit /etc/pam.d/lightdm
(Muista, että nämä erityiset vaiheet toimivat vain, jos Linux-jakelu ja työpöytäsi käyttävät LightDM-kirjautumisen hallintaa.)
Lisää seuraava rivi tiedoston loppuun ja tallenna se sitten:
vaaditaan pam_google_authenticator.so nullok
”Nullok” -bitti loppujen lopuksi kertoo järjestelmälle, että käyttäjä kirjautuu sisään, vaikka he eivät ole suorittaneet google-authentator-komentoa kaksitekijän todennuksen määrittämiseksi. Jos he ovat asettaneet sen, heidän täytyy syöttää aikakoodikoodi - muuten ne eivät. Poista nullok ja käyttäjätilit, jotka eivät ole määrittäneet Google-todentajan koodia, eivät voi kirjautua graafisesti.
Seuraavan kerran, kun käyttäjä kirjautuu graafisesti, heiltä kysytään heidän salasanansa ja pyydetään sen jälkeen näyttöön tulevaa nykyistä vahvistuskoodia. Jos he eivät anna vahvistuskoodia, he eivät voi kirjautua sisään.
Prosessin pitäisi olla melko samanlainen muille Linux-jakelijoille ja työpöydille, sillä useimmat yleiset Linux-työpöydän hallintaohjelmat käyttävät PAM: ää. Sinun tarvitsee vain muokata toista tiedostoa vastaavan kanssa aktivoidaksesi sopivan PAM-moduulin.
Jos käytät Home Directory -salausta
Vanhemmat Ubuntu-julkaisut tarjosivat helpon “kotikansion salaus” -vaihtoehdon, joka salasi koko kotikansion, kunnes annat salasanasi. Tämä käyttää erityisesti ecryptfs-tiedostoja. Koska PAM-ohjelmisto riippuu oletusarvoisesti kotikansionasi tallennetusta Google Authenticator -tiedostosta, salaus häiritsee tiedoston lukemista, ellei olet varma, että se on saatavilla salaamattomassa muodossa järjestelmään ennen kuin kirjaudut sisään. tietoja tämän ongelman välttämisestä, jos käytät edelleen vanhentuneita kotihakemiston salausasetuksia.
Uudet Ubuntu-versiot tarjoavat sen sijaan täyden levyn salauksen, joka toimii hyvin edellä mainittujen vaihtoehtojen kanssa. Sinun ei tarvitse tehdä mitään erityistä
Ohje, se murtui!
Koska otimme tämän käyttöön vain graafisissa kirjautumisissa, sen pitäisi olla helppo poistaa käytöstä, jos se aiheuttaa ongelmia. Voit avata virtuaaliterminaalin ja kirjautua sisään käyttäjätunnuksella ja salasanalla painamalla näppäinyhdistelmää kuten Ctrl + Alt + F2. Tämän jälkeen voit avata tiedoston muokkausta varten päätelaitteen tekstieditorissa, kuten sudo nano /etc/pam.d/lightdm. Käytä Nano-oppaamme poistamaan rivi ja tallentamaan tiedoston, ja voit kirjautua uudelleen normaalisti uudelleen.
Voit myös pakottaa Google Authenticatorin vaatimaan muita kirjautumistyyppejä - mahdollisesti jopa kaikkia järjestelmän kirjautumisia - lisäämällä rivin "auth required pam_google_authenticator.so" muihin PAM-määritystiedostoihin. Ole varovainen, jos teet tämän. Muista, että haluat ehkä lisätä nullokin, joten käyttäjät, jotka eivät ole käyneet läpi asennusprosessin, voivat silti kirjautua sisään.
Lisätietoja PAM-moduulin käytöstä ja käyttöönotosta on ohjelmiston README-tiedostossa GitHubissa.