31Aug

Jak se přihlásit k pracovní ploše systému Linux pomocí aplikace Google Authenticator

click fraud protection

Pro dodatečnou bezpečnost můžete požádat o autentizační token založený na čase a heslo pro přihlášení do vašeho počítače Linux. Toto řešení používá službu Google Authenticator a další aplikace TOTP.

Tento proces byl proveden na Ubuntu 14.04 se standardním přihlašovacím manažerem Unity desktop a LightDM, ale principy jsou stejné na většině distribucí a stolních počítačů Linuxu.

Předtím jsme vám ukázali, jak vyžadovat službu Google Authenticator pro vzdálený přístup prostřednictvím SSH a tento proces je podobný.To nevyžaduje aplikaci Google Authenticator, ale pracuje s libovolnou kompatibilní aplikací, která implementuje schéma ověřování TOTP, včetně Authy.

Nainstalujte PAM aplikace Google Authenticator

Stejně jako při nastavení pro přístup SSH, musíme nejdříve nainstalovat příslušný software PAM( modul "pluggable-authentication module").PAM je systém, který nám umožňuje připojit různé typy ověřovacích metod do systému Linux a vyžadovat je.

Na Ubuntu se pomocí následujícího příkazu nainstaluje PAM aplikace Google Authenticator. Otevřete okno Terminál, zadejte následující příkaz, stiskněte klávesu Enter a vložte své heslo. Systém stáhne PAM z repozitářů softwaru distribuce Linuxu a nainstaluje:

instagram viewer

sudo apt-get instalace libpam-google-autenator

Další distribuce Linuxu by měly mít tento balíček k dispozici pro snadnou instalaci - otevřete své repozitáře softwaru pro distribuci systému Linuxproveďte vyhledávání.V nejhorším scénáři najdete zdrojový kód pro modul PAM v GitHub a sami jej kompilujte.

Jak jsme již uvedli, toto řešení nezávisí na "telefonování domů" na servery společnosti Google. Implementuje standardní algoritmus TOTP a může být použit i v případě, že počítač nemá přístup k Internetu.

Vytvořte si ověřovací klíče

Nyní budete muset vytvořit tajný ověřovací klíč a zadejte jej do aplikace Google Authenticator( nebo podobné) v telefonu. Nejprve se přihlaste jako svůj uživatelský účet do systému Linux. Otevřete okno terminálu a spusťte příkaz google-authenticator .Zadejte a a postupujte podle pokynů zde. Tím vytvoříte speciální soubor v adresáři aktuálního uživatelského účtu s informacemi služby Google Authenticator.

Budete také procházet procesem získávání tohoto dvojfaktorového ověřovacího kódu do aplikace Google Authenticator nebo podobné aplikace TOTP na vašem smartphonu. Váš systém může vygenerovat kód QR, který můžete skenovat, nebo ho můžete zadat ručně.

Ujistěte se, že jste si všimli nouzových kódů, které můžete použít k přihlášení, pokud ztratíte telefon.

Projděte tento proces pro každý uživatelský účet, který používá váš počítač.Pokud jste například jedinou osobou, která používá váš počítač, stačí ji jednou provést na běžném uživatelském účtu. Pokud máte někoho jiného, ​​kdo používá váš počítač, budete chtít, aby je přihlásili do svého vlastního účtu a vygenerovali vhodný dvoufaktorový kód pro svůj vlastní účet, aby se mohli přihlásit.

Aktivovat ověřování

Zde je místověci se trochu dicy. Když jsme vysvětlili, jak povolit dvoufaktorové přihlašování SSH, požadovali jsme jej pouze pro přihlašovací údaje SSH.To vám zajistilo, že se můžete stále přihlásit místně, pokud jste ztratili vaši autentizační aplikaci nebo se něco pokazilo.

Vzhledem k tomu, že povolíme dvoufaktorovou autentizaci pro místní přihlášení, jsou zde potenciální problémy. Pokud se něco pokazí, možná se nebudete moci přihlásit. Vzhledem k této skutečnosti vás budeme moci povolit pouze pro grafické přihlašování.To vám dává únikový poklop, pokud ho potřebujete.

Povolte službu Google Authenticator pro grafické přihlašování na Ubuntu

Vždy můžete povolit dvoustupňovou autentizaci pouze pro grafická přihlašování, přeskočení požadavku při přihlašování z textového řádku. To znamená, že byste se mohli snadno přepnout na virtuální terminál, přihlásit se tam a vrátit změny tak, aby se Gogole Authenciator nevyžadoval, pokud se vyskytne problém.

Jistě, toto otevírá díru ve vašem autentizačním systému, ale útočník s fyzickým přístupem k vašemu systému ji může stejně využít. Proto je dvoufaktorová autentizace zvlášť efektivní pro vzdálené přihlášení přes SSH.

Zde je postup pro Ubuntu, který používá správce přihlášení LightDM.Otevřete soubor LightDM pro úpravu příkazem, jako je následující:

sudo gedit /etc/pam.d/ lightdm

( Pamatujte si, že tyto konkrétní kroky budou fungovat pouze tehdy, použijete-li linuxovou distribuci a stolní počítače přihlašovací správce LightDM.)

Přidejte následující řádek na konecsoubor a uložte jej:

auth required pam_google_authenticator.so nullok

Bit "nullok" na konci říká systému nechat přihlášení uživatele, i když nemají spustit příkaz příkazu google-authenticator pro nastavení dvou-Faktor ověřování.Pokud je nastaví, budou muset zadat časový kód - jinak to nebudou. Odeberte "nullok" a uživatelské účty, které si nenastavili kód Google Authenticator, se nebudou moci graficky přihlásit.

Při příštím přihlášení uživatele graficky se zobrazí výzva k zadání hesla a poté se zobrazí výzva k zadání aktuálního ověřovacího kódu zobrazovaného v telefonu. Pokud nezadáte ověřovací kód, nebudou se moci přihlásit.

Proces by měl být poměrně podobný pro jiné linuxové distribuce a desktopy, protože většina běžných manažerů relací Linuxu používá PAM.Pravděpodobně budete muset upravit jiný soubor s podobným aktivačním modulem PAM.

Pokud používáte šifrování domovského adresáře

Starší verze Ubuntu nabízejí snadnou možnost "šifrování domovské složky", která šifruje celý váš domovský adresář, dokud nezadáte heslo. Konkrétně to používá ecryptfs. Protože však software PAM závisí na souboru Google Authenticator uloženém ve vašem domovském adresáři ve výchozím nastavení, šifrování zasahuje do PAM, který si přečte soubor, dokud se nezjistí, že je k dispozici v nezašifrované podobě systému, než se přihlásíte. Další informace naleznete v souboru READMEinformace o vyloučení tohoto problému v případě, že stále používáte možnosti šifrování v zastaralém domovském adresáři.

Moderní verze softwaru Ubuntu nabízejí šifrování celého disku, které bude pracovat s výše uvedenými možnostmi. Nemusíte dělat nic zvláštního

Help, It Broke!

Protože jsme to právě povolili pro grafické přihlašování, mělo by být snadno zakázáno, pokud způsobuje problém. Stiskněte klávesovou kombinaci, jako jsou klávesy Ctrl + Alt + F2, k přístupu k virtuálnímu terminálu a přihlášení k němu s vaším uživatelským jménem a heslem. Potom můžete použít příkaz sudo nano /etc/pam.d/ lightdm, který otevře soubor pro úpravu v terminálovém textovém editoru. Použijte náš průvodce Nano k odstranění řádku a uložení souboru a budete se moci přihlásit normálně znovu.

Můžete také vynutit, aby byl Google Authenticator požadován pro jiné typy přihlašovacích údajů - případně i pro všechna systémová přihlašování - přidáním řádku "auth required pam_google_authenticator.so" do ostatních konfiguračních souborů PAM.Buďte opatrní, pokud to uděláte. A nezapomeňte, můžete přidat "nullok" tak, aby uživatelé, kteří neprošli procesem instalace, se mohou stále přihlásit.

Další dokumentaci k použití a nastavení tohoto modulu PAM lze nalézt v souboru README programu GitHub.