31Aug
Za dodatno varnost lahko zahtevate časovni žeton za preverjanje pristnosti in geslo za prijavo v vaš računalnik Linux. Ta rešitev uporablja Google Authenticator in druge aplikacije TOTP.
Ta proces je bil izveden na Ubuntu 14.04 s standardnim namiznim namizjem in upravljalnikom za prijavo LightDM, vendar so principi enaki pri večini distribucij in namizij v Linuxu.
Pred nami smo vam že pokazali, kako zahtevati Google Authenticator za oddaljeni dostop prek SSH in ta postopek je podoben. To ne zahteva aplikacije Google Authenticator, vendar deluje z vsemi združljivimi aplikacijami, ki izvajajo shemo overjanja TOTP, vključno z Authy.
Namestite Google Authenticator PAM
Kot pri nastavljanju tega za SSH dostop, bomo najprej morali namestiti ustrezno programsko opremo PAM( modul "pluggable-authentication module").PAM je sistem, ki nam omogoča prilagajanje različnih vrst avtentikacijskih metod v sistem Linux in jih potrebujemo.
V Ubuntu bo naslednji ukaz namestil Google Authenticator PAM.Odprite okno Terminal, vnesite naslednji ukaz, pritisnite Enter in podajte svoje geslo. Sistem bo prenesel PAM iz repozitorijev programske opreme za distribucijo Linuxa in ga namestil:
sudo apt-get namestite libpam-google-authenticator
Druga distribucija Linuxa naj bi upala, da bo ta paket na voljo tudi za enostavno namestitev - odprite svoja repozitorija programske opreme za distribucijo Linuxa inizvedite iskanje. V najslabšem primeru lahko izvorno kodo modula PAM najdete na GitHub in ga sami kompilirate.
Kot smo že poudarili, ta rešitev ni odvisna od "telefoniranja domov" Googlovim strežnikom. Uvaja standardni algoritem TOTP in ga lahko uporabite tudi, če vaš računalnik nima dostopa do interneta.
Ustvarite ključe za preverjanje pristnosti
Zdaj boste morali ustvariti tajen ključ za preverjanje pristnosti in ga v telefonu dodati v aplikacijo za aplikacijo Google Authenticator( ali podobno).Najprej se prijavite kot svoj uporabniški račun v sistem Linux. Odprite terminalsko okno in zaženite ukaz google-authenticator .Vnesite y in sledite navodilom tukaj. To bo ustvarilo posebno datoteko v imeniku trenutnega uporabniškega računa s podatki Google Authenticator.
Prav tako boste prešli skozi postopek pridobitve te dvosmerne kode za preverjanje v Google Authenticator ali podobno aplikacijo TOTP na vašem pametnem telefonu. Vaš sistem lahko ustvari kodo QR, ki jo lahko optično preberete, ali jo lahko vnesete ročno.
Bodite pozorni na svoje nujne praske, ki jih lahko uporabite za prijavo, če ste izgubili telefon.
Preskusite ta postopek za vsak uporabniški račun, ki uporablja vaš računalnik. Na primer, če ste edina oseba, ki uporablja vaš računalnik, lahko to naredite enkrat na običajnem uporabniškem računu.Če imate nekoga drugega, ki uporablja vaš računalnik, ga boste želeli prijaviti v svoj račun in ustvariti ustrezno dvomestno kodo za svoj račun, da se boste lahko prijavili.
Aktivirajte overjanje
Tukaj jestvari postanejo malo dice. Ko smo pojasnili, kako omogočiti dvo-faktor za prijave SSH, smo zahtevali le za prijave SSH.To je zagotovilo, da se lahko še vedno prijavite lokalno, če ste izgubili svojo aplikacijo za preverjanje pristnosti ali če je prišlo do napake.
Ker bomo omogočili dvofaktorno preverjanje pristnosti za lokalne prijave, obstajajo potencialne težave tukaj.Če gre kaj narobe, se morda ne boste mogli prijaviti. Ob upoštevanju tega vam bomo omogočili dostop do grafičnih prijav. To vam zagotavlja izhod v sili, če jo potrebujete.
Omogoči Google Authenticator za grafične prijave na Ubuntu
Vedno lahko omogočite dvostopenjsko preverjanje pristnosti samo za grafične prijave, če preskočite zahtevo, ko se prijavite iz pozivnega besedila. To pomeni, da bi lahko preprosto preklopili na navidezni terminal, se tam prijavili in spremenili svoje spremembe, zato Gogole Authenciator ne bi bil potreben, če boste imeli težave.
Seveda, to odpre luknjo v vašem sistemu za preverjanje pristnosti, vendar ga lahko napadalec s fizičnim dostopom do vašega sistema že izkoristi. Zato je dvofaktorska avtentikacija še posebej učinkovita za oddaljene prijave preko SSH.
To naredite tako, da uporabite Ubuntu, ki uporablja upravitelja za prijavo v LightDM.Odprite datoteko LightDM za urejanje s takim ukazom:
sudo gedit /etc/pam.d/ lightdm
( ne pozabite, da bodo ti specifični koraki delovali le, če vaša distribucija Linuxa in namizje uporabljata upravljalnik za prijavo v LightDM.)
Dodajte naslednjo vrstico do koncadatoteko in jo shranite: zahteva se zahteva
auth pam_google_authenticator.so nullok
Bit "nullok" na koncu pove sistemu, naj se uporabniku prijavi, tudi če niso zagnali ukaza google-authenticator,preverjanje pristnosti faktorja.Če so ga nastavili, bodo morali vnesti časovno kodo - v nasprotnem primeru ne bodo. Odstranite »nullok« in uporabniške račune, ki niso nastavili kode Google Authenticator, se ne bodo mogli grafično prijaviti.
Naslednjič, ko se uporabnik prijavi grafično, bo zahteval njihovo geslo in nato zahteval trenutno kodo za preverjanje, ki je prikazana na njihovem telefonu.Če ne vnesejo kode za preverjanje, se jim ne bo dovoljeno prijaviti.
Postopek mora biti precej podoben za druge distribucije in namizne računalnike v Linuxu, saj najpogostejši upravljavci namizja za namizne računalnike uporabljajo PAM.Verjetno boste morali urediti drugo datoteko z nekaj podobnega, da aktivirate ustrezen modul PAM.
Če uporabljate šifriranje domače imenike
Starejše izdaje Ubuntu so omogočile enostavno šifriranje domače mape, ki šifrira celoten domači imenik, dokler ne vnesete gesla. Natančneje, to uporablja ecryptfs. Ker pa je programska oprema PAM odvisna od datoteke Google Authenticator, ki je privzeto shranjena v domačem imeniku, šifriranje ovira dostop do datoteke PAM, ki je prebral datoteko, razen če se pred prijavo ne prepričajte, da je v nešifrirani obliki na voljo v sistemu.informacije o izogibanju te težave, če še vedno uporabljate opuščene možnosti šifriranja domače mape.
Sodobne različice Ubuntu ponujajo polno disketno šifriranje, ki bo z zgoraj naštetimi možnostmi v redu. Vam ni treba storiti ničesar posebnega
Help, It Broke!
Ker smo to omogočili le za grafične prijave, bi ga bilo treba onemogočiti, če povzroči težavo. Pritisnite kombinacijo tipk, kot sta Ctrl + Alt + F2, za dostop do virtualnega terminala in se prijavite z uporabniškim imenom in geslom. Nato lahko uporabite ukaz, kot je sudo nano /etc/pam.d/ lightdm, da odprete datoteko za urejanje v terminalni urejevalnik besedila. Uporabite naš vodnik za Nano, da odstranite vrstico in shranite datoteko, zato se boste lahko znova prijavili.
Prav tako lahko zahtevate, da je Google Authenticator potreben za druge vrste prijav - potencialno celo vse sistemske prijave - tako, da dodate vrstici "auth required pam_google_authenticator.so" v druge konfiguracijske datoteke PAM.Bodite previdni, če to storite. In ne pozabite, morda boste želeli dodati »nullok«, da se bodo uporabniki, ki še niso šli skozi postopek namestitve, še vedno prijavljali.
Nadaljnja dokumentacija o uporabi in nastavitvi tega modula PAM najdete v datoteki README programske opreme na GitHub.