31Aug
לקבלת אבטחה נוספת, תוכל לדרוש אסימון אימות מבוסס זמן וכן סיסמה כדי להיכנס למחשב Linux שלך.פתרון זה משתמש ב- Google Authenticator ובאפליקציות TOTP אחרות.
תהליך זה בוצע ב- Ubuntu 14.04 עם שולחן העבודה הסטנדרטי של Unity ועם מנהל ההתחברות של LightDM, אך העקרונות זהים ברוב ההפצות והשולחנות של לינוקס.
בעבר ראינו כיצד לדרוש מאמת החשבונות של Google לגישה מרחוק באמצעות SSH, ותהליך זה דומה.פעולה זו אינה דורשת את היישום 'מאמת החשבונות של Google', אך פועלת עם אפליקציה תואמת שמיישמת את ערכת האימות של TOTP, כולל Authy.
התקן את המאמת של Google PAM
כאשר אנו מגדירים את זה לגישת SSH, תחילה נצטרך להתקין את תוכנת PAM( "מודול האימות הניתן לחיבור").PAM היא מערכת המאפשרת לנו לחבר סוגים שונים של שיטות אימות למערכת לינוקס ולדרוש מהם.
ב- Ubuntu, הפקודה הבאה תתקין את PAM של Google Authenticator.פתח חלון טרמינל, הקלד את הפקודה הבאה, הקש על Enter וספק את הסיסמה שלך.המערכת תוריד את ה- PAM ממאגרי התוכנה של הפצת לינוקס ותתקין אותו:
sudo apt-get התקן את libpam-google-authenticator
הפצות לינוקס אחרות יש לקוות שהחבילה תהיה זמינה גם להתקנה קלה - פתח את מאגרי התוכנה של ההפצה של לינוקסלבצע חיפוש אחר זה.במקרה הגרוע ביותר, אתה יכול למצוא את קוד המקור עבור מודול PAM על GitHub ולעבד אותו בעצמך.
כפי שציינו קודם, פתרון זה אינו תלוי ב "צלצול הביתה" לשרתים של גוגל.הוא מיישם את האלגוריתם הסטנדרטי TOTP וניתן להשתמש בו גם כאשר המחשב שלך אין גישה לאינטרנט.
יצירת מקשי האימות שלך
כעת יהיה עליך ליצור מפתח אימות סודי ולהזין אותו ביישום Google Authenticator App( או דומה) בטלפון שלך.ראשית, היכנס לחשבון המשתמש שלך במערכת Linux.פתח חלון מסוף והפעל את הפקודה של .הקלד y ופעל לפי ההנחיות כאן.פעולה זו תיצור קובץ מיוחד בספריית חשבון המשתמש הנוכחי עם פרטי המאמת של Google.
תוכל גם לעבור את תהליך קבלת קוד האימות הדו-גורמי הזה למאמת של Google או לאפליקציית TOTP דומה בטלפון החכם שלך.המערכת שלך יכולה ליצור קוד QR שאתה יכול לסרוק, או שאתה יכול להקליד אותו באופן ידני.
הקפד לציין את קודי החירום לשעת חירום, שבהם תוכל להשתמש כדי להתחבר עם אם תאבד את הטלפון.
עבור תהליך זה עבור כל חשבון משתמש המשתמש במחשב שלך.לדוגמה, אם אתה האדם היחיד שמשתמש במחשב שלך, תוכל לעשות זאת פעם אחת בחשבון המשתמש הרגיל שלך.אם יש לך מישהו אחר שמשתמש במחשב שלך, אתה רוצה לקבל אותם להיכנס לחשבון שלהם וליצור קוד המתאים שני גורמים עבור החשבון שלהם, כך שהם יוכלו להיכנס.
הפעלת אימות
כאןדברים מקבלים קצת דיסי.כאשר הסברנו כיצד לאפשר שני גורמים עבור כניסה SSH, נדרשנו רק עבור כניסות SSH.זה הבטיח אתה עדיין יכול להיכנס באופן מקומי אם איבדת את יישום האימות שלך או אם משהו השתבש.
מכיוון שנפעיל אימות משני גורמים עבור כניסות מקומיות, יש כאן בעיות פוטנציאליות.אם משהו משתבש, ייתכן שלא תוכל להיכנס. אם נחשוב על כך, ננחה אותך על ידי הפעלת אפשרות זו עבור כניסות גרפיות בלבד.זה נותן לך פתח להימלט אם אתה צריך את זה.
הפעל את המאמת של Google עבור כניסות גרפיות ב- Ubuntu
תוכל תמיד לאפשר אימות דו-שלבי עבור כניסות גרפיות בלבד, תוך דילוג על הדרישה בעת כניסה מהנחיית הטקסט.זה אומר שאתה יכול בקלות לעבור לטרמינל וירטואלי, להיכנס לשם, לבטל את השינויים שלך כך Gogole Authenciator לא יידרש אם אתה נתקל בבעיה.
בטח, זה פותח חור במערכת האימות שלך, אבל תוקף עם גישה פיזית למערכת שלך כבר יכול לנצל את זה בכל מקרה.לכן אימות שני גורמים יעיל במיוחד עבור כניסות מרחוק באמצעות SSH.
הנה איך לעשות את זה עבור אובונטו, המשתמשת מנהל הכניסה LightDM.פתח את הקובץ LightDM לעריכה עם פקודה כמו הבאה:
sudo gedit /etc/pam.d/ lightdm
( זכור, הצעדים הספציפיים האלה יפעלו רק אם הפצת לינוקס ושולחן העבודה שלך משתמשים במנהל ההתחברות של LightDM).
הוסף את השורה הבאה לסוףאת הקובץ ולאחר מכן לשמור אותו:
auth נדרש pam_google_authenticator.so nullok
קצת "nullok" קצת בסוף אומר למערכת לתת למשתמש להיכנס גם אם הם לא הפעילו את הפקודה Google-authenticator להגדיר שני-אימות גורם.אם הם הגדירו את זה, הם יצטרכו להזין קוד baesd בזמן - אחרת הם לא.הסר את "nullok" וחשבונות משתמשים שלא הגדירו קוד המאמת של Google פשוט לא יוכלו להיכנס באופן גרפי.
בפעם הבאה שמשתמש יתחבר בצורה גרפית, הם יתבקשו להזין את הסיסמה שלהם ולאחר מכן תתבקשו להציג את קוד האימות הנוכחי המוצג בטלפון שלהם.
התהליך צריך להיות דומה למדי עבור הפצות לינוקס אחרות שולחנות עבודה, כמו המנהלים הנפוצים ביותר לינוקס שולחן העבודה להשתמש PAM.אתה כנראה רק צריך לערוך קובץ אחר עם משהו דומה להפעיל את המודול המתאים PAM.
אם אתה משתמש בית הצפנת מדריך
מהדורות ישנות יותר של אובונטו הציע קל "הצפנת התיקייה הביתית" אפשרות כי מוצפן ספריית הבית כולו שלך עד שתזין את הסיסמה שלך.באופן ספציפי, זה משתמש ecryptfs.עם זאת, מאחר שתוכנת ה- PAM תלויה בקובץ המאמת של Google המאוחסן בספריית הבית שלך כברירת מחדל, ההצפנה מפריעה לקריאת PAM של הקובץ, אלא אם תבטיח את זמינותו בצורה לא מוצפנת למערכת לפני שתתחבר. עיין ב- README למידע נוסףמידע על הימנעות מבעיה זו אם אתה עדיין משתמש באפשרויות ההצפנה של ספריית הבית שהוצאו משימוש.
גרסאות מודרניות של אובונטו מציעות הצפנה בדיסק מלא במקום זאת, אשר יעבוד בסדר עם האפשרויות לעיל.אתה לא צריך לעשות שום דבר מיוחד
עזרה, זה שבור!
כי אנחנו פשוט איפשר את זה עבור כניסות גרפיות, זה צריך להיות קל להשבית אם זה גורם לבעיה.לחץ על צירוף מקשים כגון Ctrl + Alt + F2 כדי לגשת למסוף וירטואלי ולהיכנס לשם המשתמש והסיסמה שלך.לאחר מכן תוכל להשתמש בפקודה כמו sudo nano /etc/pam.d/ lightdm כדי לפתוח את הקובץ לעריכה בעורך טקסט מסוף.השתמש במדריך שלנו ל- Nano כדי להסיר את הקו ולשמור את הקובץ, ותוכל להתחבר שוב באופן תקין.
ניתן גם לאלץ את Google Authenticator להידרש לסוגים אחרים של כניסות - ואולי אפילו את כל כניסות המערכת - על ידי הוספת השורה "auth required pam_google_authenticator.so" לקובצי הגדרות PAM אחרים.היזהר אם אתה עושה את זה.וזכור, ייתכן שתרצה להוסיף "nullok" כך שמשתמשים שלא עברו את תהליך ההגדרה עדיין יכולים להתחבר.
תיעוד נוסף על אופן השימוש וההגדרה של מודול PAM זה נמצא בקובץ README של התוכנה ב- GitHub.