31Aug
Dėl papildomo saugumo galite reikalauti laiko nustatymo autentifikavimo žetono ir slaptažodžio, kad galėtumėte prisijungti prie savo "Linux" kompiuterio.Šis sprendimas naudoja "Google" autentifikavimo priemonę ir kitas TOTP programas.
Šis procesas buvo atliktas Ubuntu 14.04 su standartiniu "Unity" darbalaukio ir "LightDM" prisijungimo tvarkytuvu, tačiau principai yra vienodi daugumoje "Linux" paskirstymo ir stalinių kompiuterių.
Mes anksčiau parodėme, kaip reikalauti "Google Authenticator" nuotolinę prieigą per SSH, ir šis procesas yra panašus. Tai nereikalauja "Google" autentifikavimo priemonės programos, bet veikia su bet kokia suderinama programa, kuri įgyvendina TOTP autentifikavimo schemą, įskaitant "Authy".
"Google" autentifikavimo priemonės įdiegimas "PAM
" Kadangi, nustatant SSH prieigą, pirmiausia turėsime įdiegti atitinkamą PAM( "pluggable-authentication module") programinę įrangą.PAM yra sistema, kuri leidžia mums įjungti "Linux" sistemos skirtingų tipų autentiškumo metodus ir reikalauti jų.
"Ubuntu", ši komanda įdiegs "Google Authenticator PAM".Atidarykite terminalo langą, įveskite šią komandą, paspauskite "Enter" ir pateikite savo slaptažodį.Sistema atsisiųs PAM iš jūsų "Linux" paskirstymo programinės įrangos saugyklų ir įdiekite ją:
sudo apt-get install libpam-google-autentifikatorius
Kitiems "Linux" paskirstymams, turėtumėte tikėtis, kad šį paketą galima lengvai įdiegti - atidarykite "Linux" platinimo programinės įrangos saugyklas iratlikti paiešką.Blogiausiu atveju GitHub PAM modulio išeities kodą galite rasti patys.
Kaip jau minėjome anksčiau, šis sprendimas nepriklauso nuo to, ar "skambina" į "Google" serverius. Jis įgyvendina standartinį TOTP algoritmą ir gali būti naudojamas net tada, kai jūsų kompiuteryje nėra interneto prieigos.
Sukurkite autentifikavimo raktus
Dabar turėsite sukurti slaptą autentifikavimo raktą ir įvesti jį į "Google" autentifikavimo priemonės programą( arba panašią) savo telefone. Pirma, prisiregistruokite kaip savo vartotojo abonementas savo "Linux" sistemoje. Atidarykite terminalo langą ir paleiskite google-autentiškumo komandą.Įveskite ir ir sekite instrukcijas čia. Tai sukurs specialų failą dabartinės vartotojo abonemento kataloge su "Google" autentifikavimo priemonės informacija.
Jūs taip pat turėsite eiti per tai, kad du veiksnio patvirtinimo kodą įjunkite į "Google" autentifikavimo priemonę arba panašią TOTP programą savo išmaniajame telefone. Jūsų sistema gali sugeneruoti QR kodą, kurį galite nuskaityti, arba galite jį įvesti rankiniu būdu.
Įsitikinkite, kad pažymėjote savo avarinius įbrėžimų kodus, kuriuos galite naudoti norėdami prisijungti, jei prarasite telefoną.
Peržiūrėkite šį procesą kiekvienai vartotojo paskyrai, kurioje naudojamas jūsų kompiuteris. Pavyzdžiui, jei esate vienintelis asmuo, kuris naudoja jūsų kompiuterį, galite tai padaryti tik vieną kartą savo įprastoje vartotojo paskyroje. Jei turite kito asmens, kuris naudoja jūsų kompiuterį, norėsite, kad jis prisijungtų prie savo paskyros ir sukurtumėte tinkamą dviejų veiksnių kodą savo paskyrai, kad jie galėtų prisijungti.
Aktyvinti autentiškumą
Štai kurdaiktai tampa šiek tiek pagaminti. Kai paaiškinome, kaip įgalinti dvejetainius SSH prisijungimus, mums reikėjo tik SSH prisijungimų.Tai užtikrino, kad vis tiek galite prisijungti vietoje, jei praradote autentifikavimo programą arba kažkas nutiko.
Kadangi mes leisime dviejų veiksnių autentifikavimą vietiniams prisijungimams, čia yra galimų problemų.Jei kažkas negerai, jums gali nepavykti prisijungti. Atsižvelgdami į tai, mes pasistengsime tai padaryti tik grafiniams prisijungimams. Tai jums suteikia avarinio liuko, jei to reikia.
Įgalinti "Google" autentifikavimo priemonę grafiniams prisijungimams "Ubuntu
" Visada galite įjungti dviejų žingsnių autentifikavimą tik grafiniams prisijungimams, praleidžiant reikalavimą prisijungdami iš teksto eilutės. Tai reiškia, kad galite lengvai pereiti prie virtualiojo terminalo, prisijungti ten ir grąžinti savo pakeitimus, todėl Gogole Authenciator nebus reikalingas, jei iškiltų problemų.
Žinoma, tai atveria jūsų autentifikavimo sistemos skylę, bet prieglobėjas, turintis fizinę prieigą prie jūsų sistemos, vis tiek gali ją išnaudoti.Štai kodėl dviejų veiksnių autentifikavimas yra ypač efektyvus nuotoliniams prisijungimams naudojant SSH.
Štai kaip tai padaryti Ubuntu, kuriame naudojamas "LightDM" prisijungimo tvarkyklė.Atidarykite "LightDM" failą redagavimui, naudodamiesi tokia komanda:
sudo gedit /etc/pam.d/ lightdm
( atminkite, kad šie konkretūs veiksmai veiks tik tada, kai jūsų "Linux" paskirstymas ir staliniai kompiuteriai naudoja "LightDM" prisijungimo tvarkytuvę.)
Pridėkite šią eilutę prie pabaigosfailą ir išsaugokite jį:
auth reikalingas pam_google_authenticator.so nullok
"nullok" bitas pabaigoje nurodo sistemai leisti vartotojui prisijungti, net jei jis paleisti "Google" autentiškumo komandą,veiksnių autentiškumas. Jei jie nustatė, jie turės įvesti laiko-baesd kodą - kitaip jie nebus. Pašalinkite "nullok", o vartotojų abonementai, kurie nenustatė "Google" autentifikavimo kodo, negalėsite prisijungti grafiškai.
Kartą, kai vartotojas prisijungs grafiškai, jiems bus paprašyta įvesti savo slaptažodį ir tada paprašyti, kad jo telefone būtų rodomas dabartinis patvirtinimo kodas. Jei jie nepateiks patvirtinimo kodo, jiems nebus leidžiama prisijungti.
Procesas turėtų būti gana panašus kitose "Linux" distribucijose ir staliniuose kompiuteriuose, nes dažniausiai naudojami "Linux" darbastalio sesijų valdytojai naudoja PAM.Tikėtina, kad turėsite redaguoti kitą failą su kažkuo panašiu, kad suaktyvintumėte atitinkamą PAM modulį.
Jei naudojate "Home Directory" šifravimą, "
" senesni "Ubuntu" leidimai pasiūlė lengvą "kodo aplanko šifravimą", kuri užšifravo visą jūsų namų katalogą, kol įvesite savo slaptažodį.Tiksliau, tai naudoja ecryptfs. Tačiau dėl to, kad PAM programinė įranga priklauso nuo "Google" autentifikavimo failo, saugomo jūsų namų kataloge pagal nutylėjimą, šifravimas trukdo PAM skaitant failą, nebent įsitikinote, kad jis yra prieinamas sistemai prieš įvesties būdą įprastoje formoje. Pasitarkite su README, norėdami gauti daugiau informacijos.informacija apie tai, kaip išvengti šios problemos, jei jūs vis dar naudojate atsisakiusių namų katalogų šifravimo parinktis.
Šiuolaikinės "Ubuntu" versijos siūlo pilną diskų šifravimą, o tai puikiai tinka naudojant anksčiau pateiktas parinktis. Jums nereikia nieko daryti specialiai
Pagalba, jis sugedo!
Kadangi mes tai įjungėme tik grafiniams prisijungimams, tai turėtų būti lengvai išjungti, jei tai sukelia problemą.Paspauskite klavišų kombinaciją, pvz., Ctrl + Alt + F2, kad galėtumėte pasiekti virtualų terminalą ir prisijungti ten naudodami savo vartotojo vardą ir slaptažodį.Tada galite naudoti komandą, pavyzdžiui, sudo nano /etc/pam.d/ lightdm, norėdami atidaryti redagavimo failą terminalo teksto redagavimo priemonėje. Naudokite mūsų "Nano" vadovą, kad pašalintumėte liniją ir išsaugotumėte failą, ir galėsite vėl prisijungti.
Taip pat galite priversti "Google Authenticator" reikalauti kitų tipų prisijungimų - galbūt net visų sistemos prisijungimų - pridedant eilutę "auth required pam_google_authenticator.so" į kitus PAM konfigūracijos failus. Būkite atsargūs, jei tai padarysite. Ir atminkite, kad galbūt norėsite pridėti "nullok", taigi vartotojai, kurie nepasinaudojo sąrankos procesu, gali prisijungti.
Daugiau informacijos apie tai, kaip naudoti ir nustatyti šį PAM modulį, galima rasti programinės įrangos README byloje GitHub.