31Aug
Za dodatnu sigurnost, možete zahtijevati token za provjeru temeljen na vremenu, kao i lozinku za prijavu na vaše Linux računalo. Ovo rješenje upotrebljava Google Autentifikator i ostale aplikacije TOTP.
Ovaj proces izvršen je na Ubuntu 14.04 standardnim Unity desktop i LightDM login menadžerom, ali načela su isti na većini Linux distribucija i stolnih računala.
Prije smo vam pokazali kako zahtijevati Google Autentifikator za daljinski pristup putem SSH-a, a taj je postupak sličan. To ne zahtijeva aplikaciju Google autentifikator, već radi s bilo kojom kompatibilnom aplikacijom koja implementira shemu provjere autentičnosti TOTP, uključujući Authy.
Instalirajte Google Autentifikator PAM
Kao pri postavljanju ovog za SSH pristup, najprije trebamo instalirati odgovarajući PAM( modul "modul za provjeru autentičnosti").PAM je sustav koji nam omogućava priključivanje različitih vrsta metoda provjere autentičnosti u Linux sustav i zahtijevati ih.
Na Ubuntu će sljedeća naredba instalirati Google Authenticator PAM.Otvorite prozor terminala, upišite sljedeću naredbu, pritisnite Enter i unesite svoju lozinku. Sustav će preuzeti PAM iz softverskih repozitorija Linux distributera i instalirati ga:
sudo apt-get instaliraj libpam-google-autentifikator
Druge Linux distribucije trebale bi se nadamo da će ovaj paket biti dostupan i za jednostavnu instalaciju - otvorite softversku repozitoriju Linux distribucije ipretražite ga. U najgorem slučaju, izvorni kod PAM modula možete pronaći na GitHubu i sastaviti ga sami.
Kao što smo ranije istaknuli, ovo rješenje ne ovisi o "telefoniranju doma" Googleovim poslužiteljima. On provodi standardni TOTP algoritam i može se koristiti čak i kada vaše računalo nema pristup internetu.
Izradite ključeve za provjeru autentičnosti
Sada morate stvoriti tajni ključ za autentifikaciju i unijeti je u aplikaciju Google autentifikator( ili slično) na telefonu. Prvo se prijavite kao korisnički račun na Linux sustavu. Otvorite terminalski prozor i pokrenite google-authenticator naredbu. Upišite y i slijedite upute ovdje. Time će se stvoriti posebna datoteka u direktoriju trenutnog korisničkog računa s informacijama Google autentifikatora.
Također ćete proći kroz postupak dobivanja tog kontrolnog koda s dva faktora u Google Autentifikator ili sličnu aplikaciju TOTP na vašem pametnom telefonu. Vaš sustav može generirati QR kod koji možete skenirati ili ga možete upisati ručno.
Obavezno zabilježite svoje hitne kodove za ogrebotine, koje možete koristiti za prijavu ako izgubite telefon.
Prođite kroz ovaj proces za svaki korisnički račun koji koristi vaše računalo. Na primjer, ako ste jedina osoba koja koristi vaše računalo, to možete učiniti samo jednom na uobičajenom korisničkom računu. Ako imate nekoga drugog koji upotrebljava računalo, trebat će vam da se prijavite na svoj račun i generirate odgovarajući kôd za dva faktora za svoj račun kako biste se mogli prijaviti.
Aktivirajte autentifikaciju
Evo gdjestvari se malo pomalo. Kada smo objasnili kako omogućiti dva faktora za SSH prijave, tražili smo ga samo za SSH prijave. To je omogućilo da se i dalje možete prijaviti lokalno ako ste izgubili aplikaciju za provjeru autentičnosti ili ako je nešto pošlo po zlu.
Budući da ćemo omogućiti autentifikaciju s dva faktora za lokalne prijave, ovdje postoje potencijalni problemi. Ako nešto pođe krivo, možda se nećete moći prijaviti. Imajući to na umu, prošetat ćemo vam ako to omogućite samo za grafičke prijave. Ovo vam daje utočište za bijeg ako vam je potrebna.
Omogućite Google Autentifikator za grafičke prijave na Ubuntu
Uvijek možete omogućiti autentifikaciju u dva koraka samo za grafičke prijave, preskakajući zahtjev prilikom prijave iz tekstualnog zahtjeva. To znači da se možete jednostavno prebaciti na virtualni terminal, prijaviti se i vratiti promjene tako da Gogole Authenciator ne bi bio potreban ako dođe do problema.
Naravno, to vam otvara rupu u sustavu provjere autentičnosti, ali napadač s fizičkim pristupom vašem sustavu već ionako može iskoristiti. Zato je autentikacija s dva faktora posebno učinkovita za daljinske prijave putem SSH.
Evo kako to učiniti za Ubuntu, koji koristi upravljač za prijavu LightDM-a. Otvorite LightDM datoteku za uređivanje pomoću naredbe kao što je sljedeće:
sudo gedit /etc/pam.d/ lightdm
( Imajte na umu da će ti konkretni koraci funkcionirati samo ako vaša Linux distribucija i radna površina koriste LightDM upravitelja za prijavu.)
Dodajte sljedeću retku do krajadatoteku, a zatim ga spremite:
auth required pam_google_authenticator.so nullok
Bit "nullok" na kraju kaže sustavu da dopusti korisniku da se prijavljuje čak i ako nisu pokrenuli naredbu google-autentifikatora za postavljanje dva-autentikaciju faktora. Ako su ga postavili, morat će unijeti vrijeme-baesd kod - inače neće. Uklonite "nullok" i korisničke račune koji nisu postavili kôd Google autentifikatora jer se neće moći jednostavno prijaviti.
Sljedeći put kada se korisnik prijavljuje grafički, od njih će se zatražiti njihova zaporka, a zatim će se zatražiti da se trenutačni kontrolni kôd prikazuje na svom telefonu. Ako ne unesu kontrolni kôd, im neće biti dopušteno prijaviti.
Proces bi trebao biti prilično sličan drugim Linux distribucijama i stolnim računalima, jer najčešći menadžeri Linuxa za stolna računala koriste PAM.Vjerojatno ćete samo morati urediti neku drugu datoteku s nečim sličnim kako biste aktivirali odgovarajući PAM modul.
Ako koristite šifriranje kućnog koda
Starija izdanja Ubuntua ponudila su jednostavnu opciju "enkripcije domene mape" koja je šifrirala vaš cijeli kućni imenik dok ne unesete zaporku. Točnije, to koristi ecryptfs. Međutim, budući da softver PAM prema zadanim postavkama ovisi o datoteci Google autentifikatora pohranjen u vašem kućnom imeniku, šifriranje ometa PAM čitanje datoteke, osim ako ne provjerite je li dostupan u nekriptiranom obliku u sustavu prije prijave. Posavjetujte se s README-om za više informacijainformacije o izbjegavanju ovog problema ako još uvijek koristite opcije za šifriranje starijih domena.
Suvremene verzije Ubuntua nude umjesto toga šifriranje cijelog diska, što će raditi sa gore navedenim opcijama. Ne morate učiniti ništa posebno
pomoć, to je slomljena!
Budući da smo to samo omogućili za grafičke prijave, trebao bi biti lako onemogućiti ako uzrokuje problem. Pritisnite kombinaciju tipki kao što je Ctrl + Alt + F2 da biste pristupili virtualnom terminalu i prijavili se tamo s korisničkim imenom i zaporkom. Zatim možete upotrijebiti naredbu poput sudo nano /etc/pam.d/ lightdm da biste otvorili datoteku za uređivanje u uređivaču tekstualnih terminala. Upotrijebite naš vodič za Nano da biste uklonili liniju i spremili datoteku te ćete se ponovo moći normalno prijaviti.
Također možete prisiliti Google Autentifikator da bude potreban za druge vrste prijava - potencijalno čak i sve prijave sustava - dodavanjem retke "auth required pam_google_authenticator.so" u druge PAM konfiguracijske datoteke. Budite oprezni ako to učinite. I zapamtite, možda želite dodati "nullok" tako da se korisnici koji nisu prošli kroz postupak postavljanja i dalje mogu prijaviti.
Daljnja dokumentacija o korištenju i postavljanju ovog modula PAM možete pronaći u README datoteci softvera na GitHubu,