31Aug
За додатну сигурност, можете захтевати токени за аутентификацију заснован на времену, као и лозинку за пријављивање на ваш Линук рачунар.Ово решење користи Гоогле Аутхентицатор и друге ТОТП апликације.
Овај процес је извршен на Убунту 14.04 са стандардним Унити десктоп и ЛигхтДМ менаџером за пријављивање, али принципи су исти на већини Линук дистрибуција и десктопа.
Претходно смо вам показали како да захтевате Гоогле Аутхентицатор за даљински приступ путем ССХ-а, а овај процес је сличан.Ово не захтева апликацију Гоогле Аутхентицатор, али ради са било којом компатибилном апликацијом која имплементира шему ТОТП провјере аутентичности, укључујући Аутхи.
Инсталирајте Гоогле Аутхентицатор ПАМ
Као и приликом подешавања ССХ приступа, прво ћемо морати инсталирати одговарајући ПАМ( "модул за модул за потврду аутентичности").ПАМ је систем који нам омогућава да укључимо различите врсте метода аутентификације у Линук систем и захтевамо их.
У Убунтуу следећа наредба ће инсталирати Гоогле Аутхентицатор ПАМ.Отворите прозор Терминал, укуцајте следећу команду, притисните Ентер и унесите своју лозинку.Систем ће преузети ПАМ из репозиторијума софтвера за дистрибуцију Линука и инсталира га:
судо апт-гет инсталл либпам-гоогле-аутхентицатор
Остале Линук дистрибуције треба надати да ће овај пакет бити доступан и за једноставну инсталацију - отвори своје репозиторије за софтвер Линук дистрибуције иизвршите претрагу.У најгорем случају, можете пронаћи изворни код за ПАМ модул на ГитХуб-у и компајлирати га сами.
Као што смо раније истакли, ово решење не зависи од "телефонирања кући" на Гооглеовим серверима.Он имплементира стандардни ТОТП алгоритам и може се користити чак и када ваш рачунар нема приступ Интернету.
Креирајте кључеве за аутентификацију
Сада ћете морати да креирате тајни кључ за потврду и унесете га у апликацију Гоогле Аутхентицатор( или слична) на телефону.Прво, пријавите се као ваш кориснички рачун на вашем Линук систему.Отворите прозор терминала и покрените наредбу гоогле-аутхентицатор .Укуцајте и и пратите упутства овде.Ово ће креирати посебну датотеку у директоријуму тренутног корисничког налога помоћу информација Гоогле Аутхентицатор.
Такође ћете проћи кроз процес добијања тог двосмерног верификационог кода у Гоогле Аутхентицатор или сличну ТОТП апликацију на паметном телефону.Ваш систем може генерирати КР код који можете скенирати или га можете ручно откуцати.
Обавезно забележите своје шифре за хитне случајеве, за које можете да се пријавите ако изгубите телефон.
Пређите кроз овај процес за сваки кориснички рачун који користи ваш рачунар.На примјер, ако сте једина особа која користи ваш рачунар, можете то учинити једном на вашем нормалном корисничком рачуну.Ако имате неког другог који користи ваш рачунар, желели бисте их пријавити на сопствени рачун и створити одговарајући двостепени код за свој рачун, тако да ће се моћи пријавити.
Активирајте Аутхентицатион
Овдје гдјествари постају помало смешне.Када смо објаснили како омогућити двоструки фактор за ССХ пријаву, захтевали смо је само за ССХ пријаву.Ово је омогућило да се и даље пријавите локално ако сте изгубили апликацију за потврду идентитета или ако нешто није у реду.
Пошто ћемо омогућити двоструку аутентификацију за локалне пријаве, овде постоје потенцијални проблеми.Ако нешто пође наопако, можда нећете моћи да се пријавите. Имајући то у виду, проћи ћемо вам кроз омогућавање само за графичке пријаве.Ово вам даје бјекство за бекство ако вам затреба.
Омогућите Гоогле Аутхентицатор за графичке пријаве на Убунту
Увек можете омогућити аутентикацију у два корака само за графичке пријаве, прескакање захтјева када се пријавите из текстуалног позива.То значи да бисте се могли лако пребацити на виртуелни терминал, пријавити се тамо и вратити промјене тако да Гоголе Аутхенциатор неће бити потребан ако доживите проблем.
Наравно, ово отвара рупу у вашем систему за потврду идентитета, али нападач са физичким приступом вашем систему може га ионако експлоатисати.Зато је двофакторна аутентикација нарочито ефикасна за удаљену пријаву путем ССХ-а.
Ево како то учинити за Убунту, који користи ЛигхтДМ управљач за пријаву.Отворите ЛигхтДМ датотеку за уређивање помоћу наредбе:
судо гедит /etc/pam.d/ лигхтдм
( Запамтите, ови специфични кораци ће радити само ако ваша дистрибуција Линука и десктоп користи управљач за пријављивање на ЛигхтДМ.)
Додајте сљедећу линију до крајадатотеку, а затим је сачувајте: потребан је
аутор пам_гоогле_аутхентицатор.со нуллок
Бит "нуллок" на крају говори систему да пусти корисника да се пријављује чак и ако нису покренули наредбу гоогле-аутхентицатор да би подесили два-аутентичност фактора.Ако су то поставили, мораће да унесу временски празан код - иначе неће.Уклоните "нуллок" и корисничке налоге који нису подесили Гоогле Аутхентицатор код једноставно неће моћи да се пријављују графички.
Следећи пут када се корисник пријављује графички, од њих ће бити затражена њихова лозинка, а затим се затражити тренутни верификациони код приказан на њиховом телефону.Ако не унесу верификациони код, неће бити дозвољено да се пријављују.
Процес би требао бити прилично сличан за друге Линук дистрибуције и десктоп рачунаре, пошто најчешћи Линук десктоп менаџери сесије користе ПАМ.Вероватно ћете морати само да уредите другу датотеку са нечим сличним активирањем одговарајућег ПАМ модула.
Ако користите шифрирање кућног директоријума
Старије верзије Убунту-а нуде једноставну шифрирање "кућне фасцикле" која је шифровала ваш цео кућни директориј док не унесете своју лозинку.Конкретно, ово користи екриптфс.Међутим, пошто софтвер ПАМ зависи од датотеке Гоогле Аутхентицатор који је похрањен у вашем кућном директорију подразумевано, шифровање омета ПАМ читање датотеке, осим ако не обезбедите да је он доступан у нешифрираном облику систему пре него што се пријавите. Консултујте РЕАДМЕ за вишеинформације о избегавању овог проблема уколико још увек користите опције за шифровање у кућном именику.
Модерне верзије Убунту-а нуде умножавање са пуним диском, што ће добро функционирати с горњим опцијама.Не морате да урадите било шта специјално
Хелп, Ит Броке!
Пошто смо ово омогућили само за графичке пријаве, то би требало лако онемогућити ако изазове проблем.Притисните комбинацију тастера као што је Цтрл + Алт + Ф2 да бисте приступили виртуелном терминалу и пријавили се с корисничким именом и лозинком.Затим можете користити команду попут судо нано /etc/pam.d/ лигхтдм да бисте отворили датотеку за уређивање у терминалном текст едитору.Користите наш водич за Нано да уклоните линију и сачувате датотеку, а ви ћете моћи поново да се пријавите.
Можете такође приморати Гоогле Аутхентицатор да буде потребан за друге врсте пријављивања - потенцијално чак и за све системске пријаве - додавањем линије "аутх рекуиред пам_гоогле_аутхентицатор.со" другим датотекама ПАМ конфигурације.Будите пажљиви ако то учините.И запамтите, можда ћете желети да додате "нуллок" тако да корисници који нису прошли процес подешавања могу и даље да се пријављују.
Даље документација о томе како да користите и поставите овај ПАМ модул можете пронаћи у РЕАДМЕ датотеки софтвера на ГитХуб.