31Aug
Lai iegūtu papildu drošību, jūs varat pieprasīt uz laiku Linux balstītu autentifikācijas pilnvaru, kā arī paroli, lai pieteiktos savā Linux datorā.Šajā risinājumā tiek izmantots Google autentifikators un citas TOTP lietotnes.
Šis process tika veikts Ubuntu 14.04 ar standarta Unity desktop un LightDM pieteikšanās pārvaldnieku, taču principi ir vienādi lielākajā daļā Linux distribūcijas un galddatoriem.
Mēs iepriekš parādījām, kā pieprasīt Google Authenticator tālrunim, izmantojot SSH, un šis process ir līdzīgs. Tam nav nepieciešama lietotne Google Authenticator, bet tā darbojas kopā ar jebkuru saderīgu lietotni, kas īsteno TOTP autentifikācijas shēmu, tostarp Authy.
Instalējiet Google autentifikatoru PAM
. Tā kā, iestatot to SSH piekļuvei, mums vispirms būs jāinstalē atbilstoša PAM( "plug-in-authentication module") programmatūra. PAM ir sistēma, kas ļauj mums pieslēgt dažādas autentifikācijas metodes uz Linux sistēmu un pieprasīt no tām.
Uz Ubuntu šī komanda instalēs Google autentifikatora PAM.Atveriet Terminal logu, ierakstiet šādu komandu, nospiediet Enter un ievadiet savu paroli. Sistēma lejupielādēs PAM no jūsu Linux izplatīšanas programmatūras krātuvēm un to instalēs:
sudo apt-get instalējiet libpam-google-autentifikatoru
. Citām Linux distribucēm, cerams, ka šī pakete ir pieejama arī vieglai instalēšanai - atveriet Linux izplatīšanas programmatūras krātuves unveikt meklēšanu. Sliktākajā gadījumā var atrast PAM moduļa pirmkodu GitHub un pats to apkopot.
Kā jau iepriekš minējām, šis risinājums nav atkarīgs no Google serveriem, kas zvana uz mājām. Tas īsteno standarta TOTP algoritmu un to var izmantot pat tad, ja jūsu datoram nav piekļuves internetam.
Izveidojiet autentifikācijas atslēgas
Tagad jums ir jāizveido slepenā autentifikācijas atslēga un jāievada savā lietotnē Google Authenticator( vai līdzīga) savā tālrunī.Vispirms piesakieties savā lietotāja kontā savā Linux sistēmā.Atveriet termināla logu un palaidiet google-autentifikatoru komandu. Ierakstiet un un izpildiet norādījumus šeit. Tas izveidos īpašu failu pašreizējā lietotāja konta katalogā, izmantojot Google autentifikatora informāciju.
. Arī jūs veiksiet procesu, kā iegūt šo divu faktoru verifikācijas kodu savā viedtālrunī Google autentifikatoram vai līdzīgai TOTP lietotnei. Jūsu sistēma var ģenerēt QR kodu, kuru jūs varat skenēt, vai arī to varat manuāli ievadīt.
Noteikti atzīmējiet avārijas scratch kodus, kurus jūs varat izmantot, lai pieteiktos, ja pazaudējat savu tālruni.
Izmantojiet šo procesu katram lietotāja kontam, kurā tiek izmantots jūsu dators. Piemēram, ja esat vienīgā persona, kas izmanto jūsu datoru, to var izdarīt tikai savā parastajā lietotāja kontā.Ja jums ir kāds cits, kurš izmanto datoru, jūs vēlaties, lai tie pierakstītos savā kontā un izveidotu atbilstošu divu faktoru kodu savam kontam, lai viņi varētu pieteikties.
Aktivizēt autentifikāciju
Lūk, kurlietas nedaudz dicy. Kad mēs paskaidrojaim, kā iespējot divfaktoru SSH logins, mēs to pieprasījām tikai SSH logins. Tas nodrošināja, ka joprojām varat pieteikties lokāli, ja zaudējat autentifikācijas lietotni vai ja kaut kas noticis nepareizi.
Tā kā mēs nodrošināsim divu faktoru autentifikāciju vietējiem logins, šeit ir potenciālas problēmas. Ja kaut kas notiks nepareizi, iespējams, nevarēsit pieteikties. Paturot to prātā, mēs jums pavērsim iespēju to izdarīt tikai grafiskiem pieteikumvārdiem. Tas jums dod avārijas lūku, ja tas jums nepieciešams.
Iespējojiet Google autentifikatoru grafiskiem pieslēgumiem Ubuntu
Jūs vienmēr varat iespējot divpakāpju autentifikāciju tikai grafiskiem pieteikšanās gadījumiem, izlaižot prasību, kad piesakāties no teksta uzvednes. Tas nozīmē, ka jūs varētu viegli pārslēgties uz virtuālo termināli, pieteikties tajā un atgriezt izmaiņas, tādēļ Gogole Authenciator nebūtu nepieciešams, ja rodas problēma.
Protams, tas atver caurumu jūsu autentifikācijas sistēmā, taču uzbrucējs, kuram ir fiziska piekļuve jūsu sistēmai, jebkurā gadījumā to var izmantot. Tāpēc divu faktoru autentifikācija ir īpaši efektīva, lai attālināti ievadītu datus, izmantojot SSH.
Lūk, kā to izdarīt Ubuntu, kurā tiek izmantots LightDM pieteikšanās pārvaldnieks. Atveriet LightDM failu, lai to rediģētu, izmantojot šādu komandu:
sudo gedit /etc/pam.d/ lightdm
( atcerieties, ka šīs īpašās darbības darbosies tikai tad, ja jūsu Linux izplatīšana un darbvirsma lietos LightDM pieteikšanās pārvaldnieku.)
Pievienojiet šādu rindiņu līdz beigāmfailu un pēc tam to saglabājiet:
autorizējies nepieciešamais pam_google_authenticator.so nullok
Bits "nullok" beigās norāda sistēmai, lai ļautu lietotājam pieslēgties, pat ja tā nav palaidījusi Google autentifikācijas komandu,faktora autentifikācija. Ja viņi to ir iestatījuši, viņiem būs jāievada laika baesd kods - citādi tie nebūs. Noņemiet "nullok", un lietotāju konti, kuri nav iestatījuši Google autentifikatora kodu, nevarēs pieteikties grafiski.
Nākamajā reizē, kad lietotājs piesakās grafiski, viņiem tiks prasīts ievadīt viņu paroli un pēc tam pieprasīt, lai viņu tālrunī parādītu pašreizējo verifikācijas kodu. Ja viņi neievada verifikācijas kodu, viņiem nebūs atļauts pieteikties.
Processi vajadzētu būt diezgan līdzīgam citos Linux sadalījumos un darbvirsmā, jo visbiežāk Linux darbstacijas sesiju pārvaldnieki izmanto PAM.Iespējams, jums vienkārši būs jārediģē cits fails, kurā ir kaut kas līdzīgs, lai aktivizētu atbilstošo PAM moduli.
Ja izmantojat mājas direktoriju šifrēšanu
Vecāki Ubuntu izlaidumi piedāvāja vienkāršu "mājas mapju šifrēšanu", kas šifrēja visu jūsu mājas direktoriju, līdz jūs ievadījāt savu paroli. Konkrēti, tas izmanto ecryptfs. Tomēr, tā kā PAM programmatūra ir atkarīga no Google Authenticator faila, kas saglabāts jūsu vietējā direktorijā pēc noklusējuma, šifrēšana traucē PAM lasīt failu, ja vien jūs pirms tā neesat pārliecinājies, ka tā ir pieejama nešifrētā formā. Konsultējieties ar README vairākinformācija par šīs problēmas novēršanu, ja jūs joprojām izmantojat novecojušās mājas direktoriju šifrēšanas opcijas.
Mūsdienu Ubuntu versijās tā vietā tiek piedāvāta pilna diska šifrēšana, kas labi darbosies ar iepriekš minētajām opcijām. Jums nav jādara kaut kas īpašs
Palīdzība, tas ir sadalīts!
Tā kā mēs to izdarījām tikai grafiskiem pieteikumvārdiem, to būtu viegli atspējot, ja tas rada problēmu. Nospiediet taustiņu kombināciju, piemēram, Ctrl + Alt + F2, lai piekļūtu virtuālam terminālim un piesakieties tur ar savu lietotājvārdu un paroli. Pēc tam varat izmantot komandu, piemēram, sudo nano /etc/pam.d/ lightdm, lai atvērtu failu rediģēšanai termināla teksta redaktorā.Izmantojiet mūsu ceļvedi Nano, lai noņemtu līniju un saglabātu failu, un jūs varēsiet vēlreiz pierakstīties.
Varat arī pieprasīt, lai Google Authenticator tiktu pieprasīts citiem veida pieteikšanās veidiem - iespējams, pat visiem sistēmas logins -, pievienojot rindu "auth required pam_google_authenticator.so" citiem PAM konfigurācijas failiem. Esi uzmanīgs, ja to darāt. Un atcerieties, ka jūs vēlētos pievienot "nullok", lai lietotāji, kas nav izgājuši iestatīšanas procesu, joprojām var pieteikties.
Papildu dokumentāciju par to, kā lietot un iestatīt šo PAM moduli, var atrast programmatūras README failā GitHub.