31Aug
Pre dodatočnú bezpečnosť môžete požiadať o token autentifikácie založenú na čase a heslo na prihlásenie do počítača Linux. Toto riešenie používa aplikáciu Google Authenticator a ďalšie aplikácie TOTP.
Tento proces bol vykonaný na Ubuntu 14.04 so štandardným prihlasovacím logom Unity desktop a LightDM, ale princípy sú rovnaké na väčšine linuxových distribúcií a desktopov.
Predtým sme vám ukázali, ako vyžadovať službu Google Authenticator na vzdialený prístup cez službu SSH a tento proces je podobný.Toto nevyžaduje aplikáciu Google Authenticator, ale pracuje s ľubovoľnou kompatibilnou aplikáciou, ktorá implementuje schému autentifikácie TOTP vrátane Authy.
Nainštalujte PAM aplikácie Google Authenticator
Rovnako ako pri nastavovaní prístupu SSH, najprv musíme nainštalovať príslušný softvér PAM( "pluggable-authentication module").PAM je systém, ktorý nám umožňuje pripojiť rôzne typy autentifikačných metód do systému Linux a vyžadovať ich.
Na Ubuntu nasledujúci príkaz nainštaluje PAM programu Google Authenticator. Otvorte okno Terminál, zadajte nasledujúci príkaz, stlačte kláves Enter a zadajte heslo. Tento systém stiahne PAM z repozitárov softvéru distribúcie Linuxu a nainštaluje ho:
sudo apt-get inštalovať libpam-google-autentifier
Ďalšie distribucie Linuxu by mali mať tento balík k dispozícii aj pre ľahkú inštaláciu - otvorte softvérové úložiská distribúcie Linuxu avykonajte vyhľadávanie. V najhoršom scenári nájdete zdrojový kód modulu PAM na GitHub a kompiláciu sami.
Ako sme už uviedli, toto riešenie nezávisí od "telefonovania domov" na servery spoločnosti Google. Implementuje štandardný algoritmus TOTP a môže byť použitý aj vtedy, keď váš počítač nemá prístup na Internet.
Vytvorte si svoje overovacie kľúče
Teraz budete musieť vytvoriť tajný overovací kľúč a vložiť ho do aplikácie Google Authenticator( alebo podobnej) v telefóne. Najprv sa prihláste ako svoj používateľský účet na systéme Linux. Otvorte okno terminálu a spustite príkaz google-authenticator .Zadajte y a postupujte podľa pokynov tu. Tým sa vytvorí špeciálny súbor v adresári aktuálneho používateľského účtu s informáciami služby Google Authenticator.
Budete tiež prejsť procesom získania tohto dvojfaktorového overovacieho kódu do aplikácie Google Authenticator alebo podobnej aplikácie TOTP na vašom smartfóne. Váš systém môže vygenerovať kód QR, ktorý môžete skenovať, alebo ho môžete zadávať ručne.
Nezabudnite si všimnúť svoje núdzové škrabacie kódy, ktoré môžete použiť na prihlásenie sa, ak stratíte telefón.
Prejdite týmto procesom pre každý používateľský účet, ktorý používa váš počítač.Napríklad, ak ste jedinou osobou, ktorá používa počítač, môžete ju jednoducho urobiť raz na svojom bežnom používateľskom účte. Ak máte niekoho iného, kto používa váš počítač, budete chcieť, aby sa prihlásili na svoj vlastný účet a vygenerovali vhodný dvojfaktorový kód pre svoj vlastný účet, aby sa mohli prihlásiť.
Aktivácia autentifikácie
Tu je miestoveci sa trochu dicy. Keď sme vysvetlili, ako povoliť dvojfaktorové prihlásenie SSH, vyžadovali sme ho len pre prihlasovanie SSH.To vám zaručilo, že sa môžete naďalej prihlásiť lokálne, ak ste stratili svoju autentizačnú aplikáciu alebo ak sa niečo pokazilo.
Keďže budeme umožňovať dvojfaktorovú autentifikáciu pre miestne prihlásenie, tu sú potenciálne problémy. Ak sa niečo pokazí, možno sa nebudete môcť prihlásiť. S ohľadom na to budeme prechádzať tým, že to povolíme iba pre grafické prihlásenia. To vám dáva únikový poklop, ak ho potrebujete.
Povolenie aplikácie Google Authenticator na grafické prihlásenie na Ubuntu
Vždy môžete povoliť dvojstupňové overenie iba pre grafické prihlasovacie údaje, preskočenie požiadavky pri prihlasovaní sa z textového výzvy. To znamená, že by ste mohli ľahko prejsť na virtuálny terminál, prihlásiť sa tam a vrátiť zmeny tak, aby sa Gogole Authenciator nevyžadoval, ak sa vyskytne problém.
Samozrejme, otvára sa otvor vo vašom autentifikačnom systéme, ale útočník s fyzickým prístupom k vášmu systému ho môže už tak ako tak využiť.To je dôvod, prečo je dvojfaktorová autentifikácia obzvlášť efektívna pre vzdialené prihlásenia cez SSH.
Tu je postup, ako to urobiť pre Ubuntu, ktorý používa správcu prihlásenia LightDM.Otvorte súbor LightDM na úpravu pomocou príkazu, ako je nasledujúci:
sudo gedit /etc/pam.d/ lightdm
( Pamätajte si, že tieto špecifické kroky budú fungovať len vtedy, ak vaša distribúcia a pracovná plocha pre systém Linux používajú správcu prihlásenia LightDM.)
Pridajte nasledujúci riadok na koniecsúbor a uložte ho:
auth required pam_google_authenticator.so nullok
Bit "nullok" na konci informuje systém, aby nechal prihlásenie používateľa aj v prípade, že nespustil príkaz google-authenticator na nastavenie dvoch-Faktor autentifikácia. Ak ich nastavia, budú musieť zadať časový kód - inak nebudú.Odstráňte položku "nullok" a používateľské kontá, ktoré si nenastavili kód Google Authenticator, sa nebudú môcť graficky prihlásiť.
Keď sa používateľ nabudúce prihlási graficky, zobrazí sa výzva na zadanie hesla a potom sa zobrazí výzva na zadanie aktuálneho overovacieho kódu zobrazeného v telefóne. Ak nezadajú overovací kód, nebudú sa môcť prihlásiť.
Proces by mal byť pomerne podobný pre ostatné linuxové distribúcie a desktopy, pretože väčšina bežných manažérov relácie linuxových desktopov používa PAM.Pravdepodobne budete musieť upraviť iný súbor s niečím podobným ako aktivovať príslušný modul PAM.
Ak používate šifrovanie domovského adresára
Staršie vydania Ubuntu ponúkajú jednoduchú možnosť "šifrovania domovského priečinka", ktorá šifruje celý váš domovský adresár, kým nezadáte heslo. Konkrétne to používa ecryptfs. Keďže však softvér PAM závisí od súboru aplikácie Google Authenticator, ktorý je uložený vo vašom domovskom adresári predvolene, šifrovanie zasahuje do čítania súboru PAM, pokiaľ sa pred prihlásením do systému neozvete, že je k dispozícii v nezašifrovanej podobe. Prečítajte si viac informácií o READMEinformácie o vyhnúť sa tomuto problému, ak stále používate možnosti šifrovania domáceho adresára.
Moderné verzie softvéru Ubuntu ponúkajú šifrovanie s plným diskom, ktoré bude fungovať dobre s vyššie uvedenými možnosťami. Nemusíte robiť nič špeciálne
Pomoc, je to zlomené!
Pretože sme to povolili iba pre grafické prihlasovanie, malo by byť jednoduché zakázať, ak spôsobuje problém. Stlačením kombinácie klávesov, ako sú klávesy Ctrl + Alt + F2, získate prístup k virtuálnemu terminálu a prihlásite sa pomocou svojho používateľského mena a hesla. Potom môžete použiť príkaz sudo nano /etc/pam.d/ lightdm na otvorenie súboru na úpravu v terminálovom textovom editore. Pomocou nášho sprievodcu pre Nano odstráňte riadok a uložte súbor a budete sa môcť znova prihlásiť.
Môžete tiež vynútiť, aby bol Google Authenticator vyžadovaný pre iné typy prihlásení - potenciálne aj pre všetky prihlasovacie údaje systému - pridaním riadka "auth required pam_google_authenticator.so" do iných konfiguračných súborov PAM.Buďte opatrní, ak to urobíte. A nezabudnite, môžete pridať "nullok" tak, aby sa používatelia, ktorí neprešli procesom nastavenia, mohli stále prihlásiť.
Ďalšiu dokumentáciu o používaní a nastavení tohto PAM modulu nájdete v súbore README softvéru na GitHub,