31Aug
Untuk keamanan tambahan, Anda dapat memerlukan token otentikasi berbasis waktu dan juga kata sandi untuk login ke PC Linux Anda. Solusi ini menggunakan Google Authenticator dan aplikasi TOTP lainnya.
Proses ini dilakukan di Ubuntu 14.04 dengan standar Unity desktop dan manajer login LightDM, namun prinsipnya sama pada kebanyakan distribusi Linux dan desktop.
Kami sebelumnya menunjukkan kepada Anda bagaimana cara meminta Google Authenticator untuk akses jarak jauh melalui SSH, dan proses ini serupa. Ini tidak memerlukan aplikasi Google Authenticator, namun bekerja dengan aplikasi yang kompatibel yang menerapkan skema otentikasi TOTP, termasuk Authy.
Menginstal Google Authenticator PAM
Seperti saat menyiapkannya untuk akses SSH, pertama-tama kita perlu menginstal perangkat lunak PAM( modul "modul-modul" yang sesuai).PAM adalah sistem yang memungkinkan kita untuk menyambungkan berbagai jenis metode otentikasi ke dalam sistem Linux dan mewajibkan mereka.
Di Ubuntu, perintah berikut akan menginstal Google Authenticator PAM.Buka jendela Terminal, ketik perintah berikut, tekan Enter, dan berikan kata sandi Anda. Sistem akan mendownload PAM dari repositori perangkat lunak distribusi Linux Anda dan menginstalnya:
sudo apt-get install libpam-google-authenticator
Distribusi Linux lainnya semoga paket ini tersedia untuk instalasi yang mudah juga - buka repositori perangkat lunak distribusi Linux Anda danlakukan pencarian untuk ituDalam skenario terburuk, Anda dapat menemukan kode sumber untuk modul PAM di GitHub dan kompilasi sendiri.
Seperti yang telah kami jelaskan sebelumnya, solusi ini tidak bergantung pada "menelepon ke rumah" ke server Google. Ini menerapkan algoritma TOTP standar dan dapat digunakan meskipun komputer Anda tidak memiliki akses Internet.
Buat Kunci Otentikasi Anda
Sekarang Anda perlu membuat kunci autentikasi rahasia dan memasukkannya ke aplikasi Google Authenticator( atau yang serupa) di ponsel Anda. Pertama, masuk sebagai akun pengguna Anda di sistem Linux Anda. Buka jendela terminal dan jalankan perintah .Ketik y dan ikuti petunjuknya di sini. Ini akan membuat file khusus di direktori akun pengguna saat ini dengan informasi Google Authenticator.
Anda juga akan menjalani proses mendapatkan kode verifikasi dua faktor itu ke Google Authenticator atau aplikasi TOTP serupa di ponsel cerdas Anda. Sistem Anda dapat menghasilkan kode QR yang dapat Anda pindai, atau Anda dapat mengetikkannya secara manual.
Pastikan untuk mencatat kode gores darurat Anda, yang dapat Anda gunakan untuk masuk jika Anda kehilangan telepon Anda.
Ikuti proses ini untuk setiap akun pengguna yang menggunakan komputer Anda. Misalnya, jika Anda satu-satunya orang yang menggunakan komputer Anda, Anda bisa melakukannya sekali di akun pengguna normal Anda. Jika Anda memiliki orang lain yang menggunakan komputer Anda, Anda pasti ingin mereka masuk ke akun mereka sendiri dan menghasilkan kode dua faktor yang sesuai untuk akun mereka sendiri sehingga mereka dapat masuk log.
Aktifkan Otentikasi
Di sinilahhal menjadi sedikit dicy. Ketika kami menjelaskan bagaimana mengaktifkan dua faktor untuk masuknya SSH, kami memerlukannya hanya untuk login SSH.Ini memastikan Anda masih bisa masuk secara lokal jika Anda kehilangan aplikasi otentikasi atau jika ada yang tidak beres.
Karena kita akan mengaktifkan autentikasi dua faktor untuk login lokal, ada beberapa masalah potensial di sini. Jika ada yang tidak beres, Anda mungkin tidak dapat masuk. Mengingat hal itu, kami akan memandu Anda untuk mengaktifkannya hanya untuk login grafis. Ini memberi Anda jalan keluar jika Anda membutuhkannya.
Aktifkan Google Authenticator untuk Login Grafis di Ubuntu
Anda dapat selalu mengaktifkan autentikasi dua langkah hanya untuk login grafis, melewatkan persyaratan saat Anda log in dari prompt teks. Ini berarti Anda dapat dengan mudah beralih ke terminal virtual, masuk ke sana, dan mengembalikan perubahan Anda sehingga Gogole Authenciator tidak akan diminta jika Anda mengalami masalah.
Tentu, ini membuka lubang pada sistem autentikasi Anda, namun penyerang dengan akses fisik ke sistem Anda sudah dapat memanfaatkannya. Itu sebabnya otentikasi dua faktor sangat efektif untuk login jarak jauh melalui SSH.
Berikut cara melakukan ini untuk Ubuntu, yang menggunakan manajer login LightDM.Buka file LightDM untuk diedit dengan perintah seperti berikut ini:
sudo gedit /etc/pam.d/ lightdm
( Ingat, langkah-langkah spesifik ini hanya akan bekerja jika distribusi dan desktop Linux Anda menggunakan manajer login LightDM.)
Tambahkan baris berikut ke akhirfile, dan kemudian simpan:
auth required pam_google_authenticator.so nullok
Bit "nullok" pada akhirnya memberitahu sistem agar pengguna masuk meskipun mereka tidak menjalankan perintah google-authenticator untuk menyiapkan dua-faktor otentikasi. Jika mereka telah menyiapkannya, mereka harus memasukkan kode waktu-baesd - jika tidak, mereka tidak akan melakukannya. Hapus akun "nullok" dan akun pengguna yang belum menyiapkan kode Google Authenticator tidak akan dapat masuk log secara grafis.
Lain kali pengguna log in secara grafis, mereka akan diminta memasukkan kata sandinya dan kemudian meminta kode verifikasi saat ini ditampilkan di telepon mereka. Jika mereka tidak memasukkan kode verifikasi, mereka tidak akan diizinkan masuk.
Prosesnya harus serupa untuk distribusi dan desktop Linux lainnya, karena sebagian besar manajer sesi desktop Linux menggunakan PAM.Anda mungkin hanya perlu mengedit file yang berbeda dengan yang serupa dengan mengaktifkan modul PAM yang sesuai.
Jika Anda Menggunakan Enkripsi Direktori Rumah
Peluncuran yang lebih tua dari Ubuntu menawarkan pilihan "home folder encryption" yang mudah yang mengenkripsi seluruh direktori home Anda sampai Anda memasukkan kata sandi Anda. Secara khusus, ini menggunakan ecryptfs. Namun, karena perangkat lunak PAM bergantung pada file Google Authenticator yang tersimpan di direktori home Anda secara default, enkripsi tersebut mengganggu PAM yang membaca file kecuali Anda memastikannya tersedia dalam bentuk yang tidak dienkripsi ke sistem sebelum Anda masuk. Konsultasikan dengan README untuk lebih banyakinformasi untuk menghindari masalah ini jika Anda masih menggunakan pilihan enkripsi direktori rumah yang tidak berlaku lagi.
Versi modern Ubuntu menawarkan enkripsi full-disk sebagai gantinya, yang akan bekerja dengan baik dengan pilihan di atas. Anda tidak perlu melakukan sesuatu yang khusus Bantuan
, It Broke!
Karena kami hanya mengaktifkannya untuk login grafis, seharusnya mudah untuk dinonaktifkan jika menyebabkan masalah. Tekan kombinasi tombol seperti Ctrl + Alt + F2 untuk mengakses terminal virtual dan masuk ke sana dengan username dan password Anda. Anda kemudian dapat menggunakan perintah seperti sudo nano /etc/pam.d/ lightdm untuk membuka file untuk diedit di editor teks terminal. Gunakan panduan kami untuk Nano untuk menghapus baris dan menyimpan file, dan Anda dapat masuk lagi dengan normal.
Anda juga dapat memaksa Google Authenticator untuk diminta memasukkan jenis login lainnya - yang berpotensi untuk semua login sistem - dengan menambahkan baris "auth required pam_google_authenticator.so" ke file konfigurasi PAM lainnya. Hati-hati jika Anda melakukan ini. Dan ingat, Anda mungkin ingin menambahkan "nullok" sehingga pengguna yang belum menyelesaikan proses penyiapan masih bisa login.
Dokumentasi lebih lanjut mengenai bagaimana menggunakan dan mengatur modul PAM ini dapat ditemukan di file README perangkat lunak di GitHub.