31Aug
لمزيد من الحماية، يمكنك طلب رمز توثيق يستند إلى الوقت وكذلك كلمة مرور لتسجيل الدخول إلى جهاز الكمبيوتر الخاص بك لينوكس.يستخدم هذا الحل غوغل أوثنتيكاتور وتطبيقات توتب الأخرى.
تم تنفيذ هذه العملية على أوبونتو 14.04 مع سطح المكتب الوحدة القياسية و ليتدم مدير تسجيل الدخول، ولكن المبادئ هي نفسها على معظم توزيعات لينكس وأجهزة الكمبيوتر المكتبية.
لقد عرضنا لك سابقا كيفية طلب مصادقة غوغل للدخول عن بعد عبر سش، وهذه العملية مشابهة.لا يتطلب هذا تطبيق غوغل أوثنتيكاتور، ولكنه يعمل مع أي تطبيق متوافق يتوافق مع نظام مصادقة توتب، بما في ذلك أوثي.
تثبيت أداة مصادقة غوغل بام
عند إعداد هذا الإعداد للوصول إلى سش، سنحتاج أولا إلى تثبيت برنامج بام المناسب( "وحدة المصادقة القابلة للتوصيل").بام هو النظام الذي يسمح لنا لتوصيل أنواع مختلفة من أساليب المصادقة في نظام لينكس وتتطلب منهم.
في أوبونتو، سيقوم الأمر التالي بتثبيت مصادقة غوغل بام.افتح إطار المحطة الطرفية، واكتب الأمر التالي، واضغط على إنتر، وقدم كلمة المرور.سيقوم النظام بتحميل بام من مستودعات برامج توزيع لينوكس الخاصة بك وتثبيته:
سودو أبت-جيت إنستال ليبام-غوغل-أوثنتيكاتور
يجب أن تكون توزيعات لينوكس الأخرى على أمل أن تكون هذه الحزمة متاحة لسهولة التركيب أيضا - فتح مستودعات برامج توزيع لينوكس الخاصة بك وإجراء بحث عنه.في أسوأ السيناريوهات، يمكنك العثور على شفرة المصدر لوحدة بام على جيثب وتجميعها بنفسك.
كما أشرنا من قبل، فإن هذا الحل لا يعتمد على "الاتصال بالمنزل" بخوادم غوغل.وتنفذ خوارزمية توتب القياسية ويمكن استخدامها حتى عندما لا يكون جهاز الكمبيوتر الخاص بك الوصول إلى الإنترنت.
إنشاء مفاتيح المصادقة
ستحتاج الآن إلى إنشاء مفتاح مصادقة سري وإدخاله في تطبيق غوغل أوثنتيكاتور( أو تطبيق مشابه) على هاتفك.أولا، قم بتسجيل الدخول بحساب المستخدم الخاص بك على نظام لينكس الخاص بك.افتح نافذة طرفية وتشغيل الأمر غوغل-أوثنتيكاتور .اكتب y واتبع التعليمات هنا.سيؤدي هذا إلى إنشاء ملف خاص في دليل حساب المستخدم الحالي مع معلومات أداة مصادقة غوغل.
سيتم أيضا السير في عملية الحصول على رمز التحقق هذا المكون من عاملين في أداة مصادقة غوغل أو تطبيق توتوب مماثل على هاتفك الذكي.النظام الخاص بك يمكن أن تولد رمز الاستجابة السريعة يمكنك مسح، أو يمكنك كتابته يدويا.
تأكد من تدوين رموز خدش الطوارئ التي يمكنك استخدامها لتسجيل الدخول إذا فقدت هاتفك.
من خلال هذه العملية لكل حساب مستخدم يستخدم جهاز الكمبيوتر الخاص بك.على سبيل المثال، إذا كنت الشخص الوحيد الذي يستخدم جهاز الكمبيوتر، فيمكنك إجراء ذلك مرة واحدة فقط في حساب المستخدم العادي.إذا كان لديك شخص آخر يستخدم جهاز الكمبيوتر الخاص بك، فأنت تريد أن يكون لهم تسجيل الدخول إلى حسابهم الخاص وإنشاء رمز مناسب عاملين لحسابهم الخاص حتى يتمكنوا من تسجيل الدخول.
تنشيط المصادقة
وهنا أينالأشياء الحصول على قليلا ديسي.عندما شرحنا كيفية تمكين عاملين لتسجيل الدخول سش، كنا المطلوبة فقط لتسجيل الدخول سش.وهذا يضمن كنت لا تزال تسجيل الدخول محليا إذا كنت فقدت التطبيق المصادقة الخاصة بك أو إذا حدث خطأ ما.
نظرا لأننا سنتمكن من المصادقة الثنائية لعوامل تسجيل الدخول المحلية، فهناك مشاكل محتملة هنا.إذا حدث خطأ ما، فقد لا تتمكن من تسجيل الدخول. ومع أخذ ذلك في الاعتبار، سنرشدك من خلال تمكين ذلك لتسجيل الدخول الرسومية فقط.هذا يمنحك فتحة الهروب إذا كنت في حاجة إليها.
تمكين أداة مصادقة غوغل لتسجيل الدخول الرسومية على أوبونتو
يمكنك دائما تمكين المصادقة بخطوتين لعمليات تسجيل الدخول الرسومية فقط، وتخطي المتطلبات عند تسجيل الدخول من مطالبة النص.وهذا يعني أنك يمكن أن تتحول بسهولة إلى محطة افتراضية، تسجيل الدخول هناك، وعودة التغييرات الخاصة بك حتى غوغول أوثنسياتور لن تكون مطلوبة إذا واجهتك مشكلة.
بالتأكيد، هذا يفتح ثقب في نظام المصادقة الخاص بك، ولكن المهاجم مع الوصول المادي إلى النظام الخاص بك يمكن استغلال بالفعل على أي حال.هذا هو السبب في عاملين التوثيق فعالة بشكل خاص لتسجيل الدخول عن بعد عبر سش.
وإليك كيفية القيام بذلك ل أوبونتو، والذي يستخدم مدير تسجيل الدخول ليتم.افتح الملف ليتدم للتحرير بأمر كالتالي:
سودو جيديت /etc/pam.d/ ليتدم
( تذكر أن هذه الخطوات المحددة لن تعمل إلا إذا كان توزيع لينكس وسطح المكتب يستخدمان مدير تسجيل الدخول ليتم.)
أضف السطر التالي إلى نهايةالملف ثم قم بحفظه: مطلوب مصادقة
pam_google_authenticator.so نولوك
يخبرك البتة "نولوك" في النهاية النظام للسماح للمستخدم بتسجيل الدخول حتى إذا لم يقم بتشغيل الأمر غوغل-أوثنتيكاتور لإعدادعامل المصادقة.إذا قاموا بإعداده، فسيتعين عليهم إدخال رمز وقت-بيسد، وإلا فلن يفعلوا ذلك.إزالة "نولوك" وحسابات المستخدمين الذين لم يتم إعداد رمز مصادقة غوغل فقط لن تكون قادرة على تسجيل الدخول بيانيا.
في المرة التالية التي يسجل فيها المستخدم بشكل بياني، سيطلب منه كلمة المرور الخاصة به ثم يطالب بعرض رمز التحقق الحالي على هواتفه.إذا لم يتم إدخال رمز التحقق، فلن يسمح لهم بتسجيل الدخول.
يجب أن تكون العملية مشابهة إلى حد ما لتوزيعات لينكس الأخرى وأجهزة الكمبيوتر المكتبية، حيث أن مديري جلسات سطح المكتب لينكس الأكثر شيوعا يستخدمون بام.سيكون عليك فقط تعديل ملف مختلف مع شيء مماثل لتنشيط وحدة بام المناسبة.
إذا كنت تستخدم الصفحة الرئيسية تشفير الدليل
أقدم الإصدارات من أوبونتو عرض خيار "تشفير المجلد الرئيسي" السهل الذي قام بتشفير الدليل الرئيسي بأكمله حتى تقوم بإدخال كلمة المرور الخاصة بك.على وجه التحديد، وهذا يستخدم إكريبتس.ولكن نظرا لأن برنامج بام يعتمد على ملف غوغل أوثنتيكاتور المخزن في الدليل الرئيسي افتراضيا، فإن التشفير يتعارض مع ملف بام الذي يقرأ الملف ما لم تضمن أنه متوفر في شكل غير مشفر إلى النظام قبل تسجيل الدخول. استشر ريدمي للمزيدمعلومات حول تجنب هذه المشكلة إذا كنت لا تزال تستخدم خيارات التشفير دليل المنزل المهملة.
الإصدارات الحديثة من أوبونتو توفر تشفير كامل القرص بدلا من ذلك، والتي سوف تعمل بشكل جيد مع الخيارات المذكورة أعلاه.لم يكن لديك للقيام بأي شيء خاص
مساعدة، وكسر!
لأننا فقط مكنت هذا لتسجيل الدخول الرسومية، يجب أن يكون من السهل تعطيل إذا كان يسبب مشكلة.اضغط على تركيبة المفاتيح مثل كترل + ألت + F2 للوصول إلى محطة افتراضية وتسجيل الدخول هناك باستخدام اسم المستخدم وكلمة المرور.يمكنك بعد ذلك استخدام أمر مثل ليتودم سودو نانو /etc/pam.d/ لفتح الملف للتحرير في محرر نص المحطة الطرفية.استخدام دليلنا إلى نانو لإزالة الخط وحفظ الملف، وعليك أن تكون قادرا على تسجيل الدخول بشكل طبيعي مرة أخرى.
يمكنك أيضا فرض مصادقة غوغل لتكون مطلوبة لأنواع أخرى من عمليات تسجيل الدخول - حتى جميع عمليات تسجيل الدخول إلى النظام - عن طريق إضافة السطر "أوث ريكيرد pam_google_authenticator.so" إلى ملفات تهيئة بام الأخرى.كن حذرا إذا قمت بذلك.وتذكر، قد ترغب في إضافة "نولوك" بحيث يمكن للمستخدمين الذين لم يذهبوا من خلال عملية الإعداد لا يزال تسجيل الدخول.
مزيد من الوثائق حول كيفية استخدام وإعداد هذه الوحدة بام يمكن العثور عليها في الملف ريدمي البرنامج على جيثب.