31Aug
A további biztonság érdekében időalapú hitelesítési tokenet, valamint jelszót kérhet a Linux számítógéphez való bejelentkezéshez. Ez a megoldás a Google Hitelesítőt és más TOTP-alkalmazásokat használja.
Ez a folyamat az Ubuntu 14.04-es verziójával készült a szabványos Unity asztali és LightDM bejelentkezési kezelővel, de az alapelvek megegyeznek a legtöbb Linux disztribúcióban és asztali számítógépen.
Korábban bemutattuk, hogyan kell a Google Hitelesítőt távoli eléréshez az SSH-n keresztül, és ez a folyamat hasonló.Ez nem igényli a Google Hitelesítő alkalmazást, de együttműködik a TOTP-hitelesítési rendszert megvalósító összes kompatibilis alkalmazással, beleértve az Authy-ot is.
Telepítse a Google Hitelesítőt PAM
Ahogy beállítja ezt az SSH hozzáférést, először telepíteni kell a megfelelő PAM( "pluggable-authentication module") szoftvert. A PAM egy olyan rendszer, amely lehetővé teszi számunkra, hogy különböző típusú hitelesítési módszereket csatlakoztassunk egy Linux rendszerbe és megkívánjuk őket.
Az Ubuntuban a következő parancs telepíti a Google Hitelesítő PAM-t. Nyisson meg egy terminál ablakot, írja be a következő parancsot, nyomja meg az Enter billentyűt, és adja meg jelszavát. A rendszer letöltheti a PAM-ot a Linux disztribúciós szoftver-adattáraitól és telepítheti azt:
sudo apt-get install libpam-google hitelesítő
Az egyéb Linux disztribúcióknak remélhetőleg elérhetővé kell tenniük ezt a csomagot az egyszerű telepítéshez is -keressen rá.A legrosszabb esetben a PAM modul forráskódját megtalálja a GitHub-on, és fordítja le önmagát.
Amint korábban rámutattunk, ez a megoldás nem függ a "telefonhívás" a Google szervereitől. Végrehajtja a szabványos TOTP algoritmust, és akkor is használható, ha a számítógép nem rendelkezik internetkapcsolattal.
Hitelesítési kulcsok létrehozása
Most létre kell hoznia egy titkos hitelesítési kulcsot, és be kell írnia a telefon Google Hitelesítő alkalmazásába( vagy hasonló).Először jelentkezzen be felhasználói fiókként a Linux rendszerében. Nyisson meg egy terminál ablakot, és futtassa az google-authenticator parancsot.Írja be az y parancsot, és kövesse az itt látható utasításokat. Ez létrehoz egy speciális fájlt az aktuális felhasználói fiók könyvtárában a Google Hitelesítő információkkal.
Ezen a kétfaktorú ellenőrző kódnak a Google Hitelesítőben vagy hasonló TOTP-alkalmazásban történő megszerzésének folyamatában is jár az okostelefonon. A rendszer létrehozhat egy QR-kódot, amelyet beolvashat, vagy kézzel írhatja be.
Ügyeljen arra, hogy jegyezze fel a sürgősségi karcolások kódjait, amelyek segítségével bejelentkezhet, ha elveszíti a telefont.
A számítógépet használó minden egyes felhasználói fiók esetében végezze el ezt a folyamatot. Például, ha te vagy az egyetlen, aki a számítógépedet használja, egyszerűen csak egyszer teheti meg a normál felhasználói fiókodon. Ha van valaki, aki használja a számítógépet, akkor azt szeretné, hogy jelentkezzenek be saját fiókjukba, és hozzanak létre egy megfelelő kétütemű kódot a saját fiókjukhoz, hogy be tudjanak jelentkezni.
Aktiválja a hitelesítést
Itt van, ahola dolgok kicsit sugároznak. Amikor kifejtettük, hogyan engedélyezzük az SSH bejelentkezési két tényező használatát, csak SSH bejelentkezésekre volt szükségünk. Ez biztosította, hogy továbbra is bejelentkezhet a helyszínen, ha elvesztette a hitelesítési alkalmazást, vagy valami hibás.
Mivel a helyi bejelentkezésekhez engedélyezzük a kétütemű hitelesítést, itt vannak problémák. Ha valami rosszul működik, előfordulhat, hogy nem tud bejelentkezni. Ha figyelembe vesszük ezt, akkor csak a grafikus bejelentkezések engedélyezésével járunk. Ez egy menekülési nyílás, ha szüksége van rá.
Engedélyezze a Google Hitelesítőt a grafikus bejelentkezésekhez az Ubuntu
rendszeren Mindig engedélyezze a kétlépcsős azonosítást csak a grafikus bejelentkezéseknél, figyelmen kívül hagyva a követelményt, amikor bejelentkezik a szöveges üzenetből. Ez azt jelenti, hogy könnyen átválthat egy virtuális terminálra, jelentkezhet be, és visszaállíthatja a módosításokat, így a Gogole Authenciator nem lenne szükséges, ha problémát tapasztal.
Persze, ez nyit egy lyukat a hitelesítési rendszerben, de egy támadó, akinek fizikai hozzáférése van a rendszeredhez, máris kihasználhatja. Ezért a kétütemű hitelesítés különösen hatékony az SSH-n keresztül történő távoli bejelentkezéshez.
Az Ubuntu-hoz hasonló módon, a LightDM bejelentkezési kezelőt használva. Nyissa meg a LightDM fájlt szerkesztésre az alábbi parancsokkal:
sudo gedit /etc/pam.d/ lightdm
( Ne felejtsük el, hogy ezek a lépések csak akkor működnek, ha a Linux disztribúció és az asztal a LightDM bejelentkezési kezelőt használja.)
Adja hozzá a következő sort aa fájl, majd mentse el:
auth szükséges pam_google_authenticator.so nullok
A "nullok" bit a végén azt mondja a rendszernek, hogy hagyja a felhasználó bejelentkezni még akkor is, ha nem futtatta a google hitelesítés parancsot,tényező hitelesítés. Ha létrehozták őket, akkor be kell írnia az időkódot kódot - különben nem. Távolítsa el a "nullok" és a felhasználói fiókokat, akik nem állítottak be Google Hitelesítő kódot, csak akkor fognak grafikusan bejelentkezni.
A felhasználó legközelebb, amikor egy felhasználó grafikusan bejelentkezik, megkérik a jelszavukat, és felszólítják az aktuális ellenőrző kódot a telefonjukon. Ha nem adják be az ellenőrző kódot, akkor nem fognak belépni.
A folyamatnak hasonlónak kell lennie más Linux disztribúciókhoz és asztali gépekhez, mivel a leggyakoribb Linux asztali munkamenet-kezelők a PAM-ot használják. Valószínűleg csak egy másik fájlt kell szerkesztenie valami hasonló eszközzel, hogy aktiválja a megfelelő PAM modult.
Ha otthoni címtár titkosítást használ, az
Az Ubuntu régebbi kiadásai egyszerűen "otthoni mappa titkosítási" opciót kínáltak, amely titkosította az egész otthoni címtárat, amíg be nem írja a jelszavát. Pontosabban, ez az ecryptf-eket használja. Mivel azonban a PAM szoftver alapértelmezés szerint a saját könyvtárában tárolt Google Hitelesítő fájltól függ, a titkosítás megzavarja a PAM-ot, hogy olvassa el a fájlt, hacsak nem győződjön meg róla, hogy titkosítatlan formában elérhető a rendszerbe a bejelentkezés előtt.a probléma elkerülésére vonatkozó információ, ha még mindig az elavult otthoni címtár titkosítási lehetőségeit használja.
Az Ubuntu modern verziói teljes lemezes titkosítást kínálnak, amely a fenti beállításokkal jól működik. Nem kell semmi különös
Súgót, Broken!
Mivel mi csak engedélyeztük ezt a grafikus bejelentkezéshez, könnyű letiltani, ha problémát okoz. Nyomja meg a Ctrl + Alt + F2 billentyűkombinációt a virtuális terminál eléréséhez, és jelentkezzen be felhasználónévjével és jelszavával. Ezután olyan parancsot használhat, mint a sudo nano /etc/pam.d/ lightdm, hogy megnyissa a fájl szerkesztését a terminálszövegszerkesztőben. Használja a Nano útmutatót a vonal eltávolításához és a fájl mentéséhez, és újra be tud jelentkezni.
A Google Hitelesítőt más típusú bejelentkezésekhez is felkérheti - esetleg akár az összes rendszerfiókhoz is - hozzá kell adni az "auth required pam_google_authenticator.so" sort a többi PAM konfigurációs fájlhoz. Legyen óvatos, ha ezt megteszi.És ne felejtsd el, hogy "nullok" -ot kell hozzáadnod ahhoz, hogy azok, akik még nem mentek keresztül a telepítési folyamaton keresztül, továbbra is bejelentkezhetnek.
A PAM modul használatára és beállítására vonatkozó további dokumentáció megtalálható a GitHub szoftver README fájljában.