31Aug
Lisäsuojausta varten voit tarvita aikapohjaisen todennustunnisteen sekä salasanan kirjautumalla Linux-tietokoneeseen. Tämä ratkaisu käyttää Google Authenticatoria ja muita TOTP-sovelluksia.
Tämä prosessi tehtiin Ubuntu 14.04 -ohjelmistolla standardin Unity-työpöydällä ja LightDM-sisäänkirjautumisjohtajalla, mutta periaatteet ovat samat useimmissa Linux-jakeluissa ja työpöyissä.
Aiemmin näytimme sinulle, kuinka vaatia Google Authenticatoria etäyhteyden kautta SSH: n kautta, ja tämä prosessi on samanlainen. Tämä ei vaadi Google Authenticator -sovellusta, vaan toimii yhteensopivana sovelluksena, joka toteuttaa TOTP-todennusohjelman, mukaan lukien Authy.
Asenna Google Authenticator PAM
Asennettaessa tätä SSH-käyttöoikeutta varten, meidän on ensin asennettava sopiva PAM( "pluggable-authentication module") -ohjelmisto. PAM on järjestelmä, jonka avulla voimme kytkeä eri tyyppisiä todentamismenetelmiä Linux-järjestelmään ja vaatia niitä.
Ubuntussa seuraavan komennon avulla asennetaan Google Authenticator PAM.Avaa Terminal-ikkuna, kirjoita seuraava komento, paina Enter ja anna salasanasi. Järjestelmä lataa PAM: n Linux-jakeluohjelmistosi ohjelmistosta ja asenna se:
sudo apt-get asennus libpam-google-authenticator
Muut Linux-jakeluohjelmat toivottavasti saavat tämän paketin helposti asennettavaksi myös - avaa Linux-jakeluohjelmistosi tietovarastot jaetsi se. Pahimmassa tapauksessa voit löytää PIM-moduulin lähdekoodin GitHubissa ja kääntää sen itse.
Kuten aiemmin huomautimme, tämä ratkaisu ei riipu "soittamalla kotiin" Googlen palvelimiin. Se toteuttaa standardin TOTP-algoritmia ja sitä voidaan käyttää myös silloin, kun tietokoneella ei ole Internet-yhteyttä.
Luo todennusavaimet
Sinun täytyy nyt luoda salainen todennusavain ja syöttää se puhelimesi Google Authenticator -sovellukseen( tai vastaaviin).Kirjaudu ensin käyttäjätunnuksellesi Linux-järjestelmässä.Avaa pääteikkuna ja suorita google-authenticator -komento. Kirjoita y ja seuraa ohjeita täältä.Tämä luo erityisen tiedoston nykyiseen käyttäjätilin hakemistoon, jossa on Google Authenticator -tiedot.
Sinua ohjataan myös prosessin avulla, jolla tämä kaksitasoinen vahvistuskoodi tulee Google-todentajaan tai muuhun TOTP-sovellukseen älypuhelimellasi. Järjestelmäsi voi luoda QR-koodin, jonka voit skannata, tai voit kirjoittaa sen manuaalisesti.
Muista huomata hätätilanteesi naarmuuntumiskoodit, joiden avulla voit kirjautua sisään, jos menetät puhelimesi.
Käytä tätä prosessia kullekin käyttäjätunnukselle, joka käyttää tietokonetta. Jos olet esimerkiksi ainoa henkilö, joka käyttää tietokonetta, voit tehdä sen vain normaalilla käyttäjätililläsi. Jos sinulla on joku muu, joka käyttää tietokonetta, sinun on pyydettävä heitä kirjautumaan omaan tiliinsä ja luomaan sopiva kaksitasoinen koodi omaan tiliinsä, jotta he voivat kirjautua sisään.
Aktivoi todennus
Tässäasiat saavat vähän hämärä.Kun selitimme, kuinka SSH-kirjautumistiedot voidaan ottaa käyttöön kahdelle tekijälle, vaadimme vain SSH-kirjautumisia. Tämä varmisti, että voit kirjautua sisään paikallisesti, jos menetät todentamissovelluksen tai jos jokin meni pieleen.
Koska voimme ottaa käyttöön kaksitasoisen todennuksen paikallisille kirjautumisille, tässä on mahdollisia ongelmia. Jos jotain menee pieleen, et ehkä voi kirjautua sisään. Kun pidämme mielessä, kuljemme sinut läpi, kun otat tämän käyttöön vain graafisissa kirjautumisissa. Tämä antaa sinulle paikanluukun, jos tarvitset sitä.
Ota käyttöön Google Authenticator graafisille kirjautumisille Ubuntu
: ssä Voit aina ottaa kaksivaiheisen todennuksen käyttöön vain graafisissa kirjautumisissa, jättäen vaatimuksen kirjautumalla tekstihakemistoon. Tämä tarkoittaa sitä, että voit helposti siirtyä virtuaalipäätteeseen, kirjautua sinne ja palauttaa muutokset, jotta Gogole Authenciatoria ei tarvita, jos sinulla on ongelma.
Toki tämä avaa reitityksen autentikointijärjestelmässäsi, mutta hyökkääjä, jolla on fyysinen pääsy järjestelmään, voi hyödyntää sitä joka tapauksessa. Siksi kahden tekijän todentaminen on erityisen tehokasta etähallinnolle SSH: n kautta.
Näin voit tehdä tämän Ubuntulle, joka käyttää LightDM-sisäänkirjautumisen hallintaohjelmaa. Avaa LightDM-tiedosto muokattavaksi seuraavalla komennolla:
sudo gedit /etc/pam.d/ valaisin
( Muista, että nämä erityiset vaiheet toimivat vain, jos Linux-jakelu ja työpöytäsi käyttävät LightDM-kirjautumisen hallintaohjelmaa.)
Lisää seuraava rivi loppuuntiedosto ja tallenna se:
auth -vaatimus pam_google_authenticator.so nullok
Nullok-bitti lopussa kertoo järjestelmän sallivan käyttäjän kirjautumisen, vaikka he eivät olisikaan suorittaneet google-authenticator-komentoa,tekijä todennus. Jos he ovat asettaneet sen, he joutuvat kirjoittamaan aika-baesd-koodin - muuten he eivät. Poista nollok-käyttäjät ja käyttäjätilit, jotka eivät ole määrittäneet Google Authenticator -koodia, eivät pysty kirjautumaan graafisesti.
Seuraavan kerran, kun käyttäjä kirjautuu graafisesti, heitä pyydetään salasanalle ja kehotetaan antamaan nykyinen vahvistuskoodi puhelimessa. Jos he eivät anna vahvistuskoodia, he eivät saa kirjautua sisään.
Prosessin pitäisi olla melko samanlainen muille Linux-jakeluille ja työpöyille, sillä tavallisimmat Linux-työpöydän käsittelijät käyttävät PAM: ää.Sinun on todennäköisesti vain muokata eri tiedosto, jolla on jotain vastaavaa aktivoida asianmukainen PAM-moduuli.
Jos käytät kotihakemiston salausta
Ubuntun vanhemmat versiot tarjosivat helppokäyttöisen kotikansioiden salauksen, joka salasi koko kotihakemiston, kunnes annat salasanasi. Erityisesti tämä käyttää ecryptf: ää.Koska PAM-ohjelmisto riippuu oletusarvoisesti kotihakemistasi tallennetusta Google Authenticator -tiedostosta, salaus häiritsee PAM-tiedostoa lukemalla, ellei varmisteta, että se on käytettävissä salaamattomassa muodossa järjestelmään ennen kirjautumista. Lue lisätietoja README-palvelusta.tietoja tämän ongelman välttämisestä, jos käytät edelleen deprecated home -hakemiston salausvaihtoehtoja.
Nykyaikaiset Ubuntun versiot tarjoavat täyden kiintolevyn salauksen, joka toimii hyvin edellä mainittujen asetusten kanssa. Sinun ei tarvitse tehdä mitään erityistä
apua, se rikkoi!
Koska salliimme tämän vain graafisten kirjautumisten avulla, sen pitäisi olla helppo poistaa käytöstä, jos se aiheuttaa ongelman. Paina näppäimistön yhdistelmää, kuten Ctrl + Alt + F2, päästäksesi virtuaalipäätteeseen ja kirjaudu sisään siellä käyttäjänimelläsi ja salasanallasi. Tämän jälkeen voit käyttää komentotiedostoa, kuten sudo nano /etc/pam.d/ lightdm, avataksesi tiedoston muokkausta varten päätteen tekstieditorissa. Nano-oppaan avulla voit poistaa rivin ja tallentaa tiedoston, ja voit kirjautua uudelleen normaalisti uudelleen.
Voit myös pakottaa Google Authenticatorin tarvitsemaan muille kirjautumistyypeille - mahdollisesti jopa kaikki järjestelmän sisäänkirjautumiset - lisäämällä riville "auth required pam_google_authenticator.so" muille PAM-määritystiedoille. Ole varovainen, jos teet tämän. Muista myös, että haluat lisätä "nullok", jotta käyttäjät, jotka eivät ole käyneet läpi asennusprosessia, voivat kirjautua sisään.
Lisätietoja tämän PAM-moduulin käyttämisestä ja käyttöönotosta löytyy GitHub-ohjelmiston README-tiedostosta.