31Aug
Täiendava turvalisuse tagamiseks võite nõuda oma Linuxi arvutisse sisselogimiseks ka ajal põhinevat autentimismärgistust ja parooli. See lahendus kasutab Google Authenticatorit ja teisi TOTP-i rakendusi.
See protsess viidi läbi Ubuntu 14.04 standardse Unity'i töölaua ja LightDMi sisselogimisjuhi abil, kuid põhimõtted on samad enamikes Linuxi distributsioonides ja töölaudades.
Me näitasime varem, kuidas nõuda Google Authenticatorilt kaugjuurdepääsu SSH-i kaudu, ja see protsess on sarnane. See ei nõua rakenduse Google Authenticator, vaid töötab ühilduva rakendusega, mis rakendab TOTP autentimise skeemi, sealhulgas Authy.
Paigaldage Google Authenticator PAM
. Kui SSH-võrgule juurdepääsuks seadistades peame esmalt installima sobiva PAM-i( "plug-in-authentication module") tarkvara. PAM on süsteem, mis võimaldab meil eri tüüpi autentimismeetodeid ühendada Linuxi süsteemiga ja neid nõuda.
Ubuntu käivitamisel installib Google Authenticator PAM järgmise käsuga. Avage terminali aken, tippige järgmine käsk, vajutage sisestusklahvi ja sisestage parool. Süsteem laadib PAMi alla oma Linuxi levitamise tarkvaravärskenditest ja installib selle:
sudo apt-get install libpam-google-autentifikaator
Muud Linux distributsioonid peaksid loodetavasti olema selle paketi jaoks hõlpsasti installitud ka - avage oma Linuxi levitamise tarkvarahoidlad jaotsi seda. Halvima stsenaariumi korral saate GitHubi PAM-mooduli lähtekoodi leida ja ise seda kompileerida.
Nagu me varem mainisime, ei sõltu see lahendus Google'i serveritele helistades. See rakendab standardseid TOTP-i algoritmi ja seda saab kasutada isegi siis, kui teie arvutil ei ole Interneti-ühendust.
Loo oma autentimise võtmed
Nüüd peate looma salajase autentimisvõti ja sisestama selle oma telefoni Google Authenticatori rakendusse( või sarnasele) rakendusele. Esiteks logige oma Linuxi süsteemis oma kasutajakontoga sisse. Avage terminali aken ja käivitage google-autentifikaat käsklus. Tippige ja ja järgige siin olevaid juhiseid. Sellega luuakse praeguse kasutajakonto kataloogis spetsiaalne fail Google Authenticatori teabega.
Samuti saate kõnelda kahefaasilise kinnituskoodi saamisest teie nutitelefoni Google Authenticatorile või sarnasele TOTP-i rakendusele. Teie süsteem võib genereerida QR-koodi, mida saate skannida, või saate seda käsitsi kirjutada.
Kindlasti märkige oma hädaabi koodid, mida saate oma telefoniga kaotamiseks sisse logida.
Läbi selle protsessi iga kasutajakonto jaoks, mis kasutab teie arvutit. Näiteks kui olete ainus isik, kes kasutab teie arvutit, saate seda teha tavalisel kasutajakontol ühel korral. Kui teil on keegi teine, kes teie arvutit kasutab, siis soovite, et nad logiksid sisse oma kontole ja looma oma konto jaoks sobiva kahenumbrilise koodi, et nad saaksid sisse logida.
Aktiveerige autentimine
Siin on kohtasjad lähevad natuke dicy. Kui me selgitasime, kuidas võimaldada SSH sisselogimiste jaoks kahte tegurit, nõutasime seda ainult SSH sisselogimiste jaoks. See tagab, et saate ka oma autentimisrakenduse kaotanud või kui midagi läks valesti.
Kuna me lubame kahesuunalist autentimist kohalike sisselogimiste jaoks, on siin potentsiaalsed probleemid. Kui midagi läheb valesti, ei pruugi te olla võimalik sisse logida. Seda silmas pidades juhime seda, kui lubate selle ainult graafilistele sisselogimistele. See annab teile evakuatsiooniluugi, kui seda vajate.
Lubage Google Authenticator graafilistele sisselogimistele Ubuntu
-s. Võite alati lubada kaheastmelise autentimise ainult graafiliste sisselogimiste jaoks, jättes nõude sisestamata tekstituleku korral. See tähendab, et võite kergesti üle minna virtuaalsele terminalile, logige sisse ja muutke oma muudatused tagasi, nii et Gogole Authenciator pole probleemi tekkimisel vajalik.
Kindlasti avaneb see teie autentimissüsteemis auk, kuid ründaja, kellel on füüsiline juurdepääs teie süsteemile, võib seda ikkagi ära kasutada. Sellepärast on kaheteguriline autentimine eriti efektiivne SSH-i kaudu serveri sisselogimisel.
Siit leiate, kuidas seda teha Ubuntu jaoks, kes kasutab LightDM-i sisselogimisjuhi. Ava LightDM-fail redigeerimiseks järgmise käsuga:
sudo gedit /etc/pam.d/ lightdm
( Pidage meeles, et need konkreetsed toimingud toimivad ainult siis, kui teie Linuxi levitamine ja töölaud kasutavad LightDMi sisselogimisjuhi.)
Lisage järgmine ridafail ja seejärel salvestage see:
auth nõutud pam_google_authenticator.so nullok
Lõpuks nullok-bitis annab süsteemi kasutajatele sisselogimise lubamiseks, isegi kui nad ei käivita kahesuunalise sisselogimise käsku google-authenticator,faktori autentimine. Kui nad on selle seadistanud, peavad nad sisestama aeg-baasi koodi - muidu nad seda ei tee. Eemaldage nullok ja kasutajate kontod, kes ei ole Google Authenticator koodi seadistanud, ei saa graafiliselt sisse logida.
Järgmine kord, kui kasutaja logib graafiliselt sisse, palutakse neil oma parooli küsida ja seejärel palutakse oma telefonil kuvada kehtiv kinnituskood. Kui nad ei sisesta kinnituskoodi, ei ole neil lubatud sisse logida.
Protsess peaks olema teiste Linuxi distributsioonide ja töölaua jaoks üsna sarnane, kuna enamus levinumaid Linuxi töölauakeseansse kasutavad PAM-i. Peate lihtsalt muutma mõnda muud faili, millel on midagi sarnast, et aktiveerida vastav PAM-moodul.
Kui kasutate kodukataloogi krüptimist
Vanemad Ubuntu väljaanded pakkusid lihtsa kodukataloogi krüptimise võimaluse, mis krüpteerib kogu teie kodukataloogi, kuni sisestate parooli. Täpsemalt, see kasutab öripptfi. Kuid kuna PAM-tarkvara sõltub vaikimisi kodukataloogis salvestatud Google Authenticatori failist, kahjustab see krüptimine faili lugedes PAM-i, kui te ei garanteeri, et see on krüptimata kujul süsteemile enne sisselogimist. Täpsemat teavet README-leselle probleemi vältimise kohta, kui te kasutate endiselt vananenud kodukataloogi krüpteerimisvalikuid.
Ubuntu kaasaegsed versioonid pakuvad täieliku ketta krüpteerimist, mis toimib ülaltoodud võimalustega. Sa ei pea midagi erilist tegema.
abi, see lõhkus!
Kuna me lubasime seda graafilistele sisselogimistele, peaks see olema lihtsalt keelatud, kui see põhjustab probleemi. Virtuaalse terminali avamiseks vajutage klahvikombinatsiooni, näiteks Ctrl + Alt + F2, ja logige sisse oma kasutajanime ja parooliga. Siis saate kasutada käsku sudo nano /etc/pam.d/ lightdm, et avada faili redigeerimiseks terminali tekstitöötlusversioonis. Kasutage Nano juhendit, et eemaldada joon ja salvestada fail, ja saate uuesti sisse logida.
Samuti võite Google Authenticatori nõuda muude tüüpi sisselogimiste puhul - potentsiaalselt ka kõigi süsteemi sisselogimiste puhul -, lisades teistele PAM-i konfiguratsioonifailidele rida "auth required pam_google_authenticator.so".Ole ettevaatlik, kui teete seda. Ja pidage meeles, et võite lisada "nulloki", nii et kasutajad, kes pole seadistamisprotsessi läbinud, saavad end sisse logida.
Lisateavet selle PAM-mooduli kasutamise ja seadistamise kohta leiate GitHubi tarkvara README-failist.
