31Aug
Ek güvenlik için, Linux PC'ye giriş yapmak için zaman tabanlı bir kimlik doğrulama belirteci ve bir parola gerektirebilirsiniz. Bu çözüm, Google Authenticator'ı ve diğer TOTP uygulamalarını kullanır.
Bu işlem Ubuntu 14.04'te standart Unity masaüstü ve LightDM oturum açma yöneticisi ile gerçekleştirildi, ancak ilkeler çoğu Linux dağıtımı ve masaüstünde aynıdır.
Size daha önce, Google Authenticator'ın SSH üzerinden uzaktan erişim için nasıl kullanılacağını gösterdik ve bu süreç benzer. Bu, Google Authenticator uygulamasını gerektirmez, ancak Authy de dahil olmak üzere TOTP kimlik doğrulama şemasını uygulayan uyumlu herhangi bir uygulamayla çalışır.
Google Authenticator PAM
'yi yükleyin Bunu SSH erişimi için ayarlarken, öncelikle uygun PAM( "takılabilir kimlik doğrulama modülü") yazılımını yüklemeliyiz. PAM, farklı kimlik doğrulama yöntemlerini bir Linux sistemine bağlamamıza ve bunları gerektirmemize izin veren bir sistemdir.
Ubuntu'da, aşağıdaki komut Google Authenticator PAM'ı yükleyecektir. Bir Terminal penceresi açın, aşağıdaki komutu yazın, Enter tuşuna basın ve şifrenizi girin. Sistem, PAM'yi Linux dağıtımınızın yazılım depolarından indirecek ve kuracaktır:
sudo apt-install install libpam-google-authenticator
Diğer Linux dağıtımı umarım bu kurulumun kolay olması için bu paketi hazırlamanız gerekir - Linux dağıtımınızın yazılım depolarını açın vebunun için bir arama yapın. En kötü senaryoda, PAM modülünün kaynak kodunu GitHub'da bulabilir ve kendiniz derleyebilirsiniz.
Daha önce de belirttiğimiz gibi, bu çözüm "eve telefon ederek" Google'ın sunucularına bağlı değildir. Standart TOTP algoritmasını uygular ve bilgisayarınızda İnternet erişimi olmadığında bile kullanılabilir.
Kimlik Doğrulama Tuşlarınızı Oluşturun
Artık bir gizli kimlik doğrulama anahtarı oluşturmanız ve bunu telefonunuzdaki Google Şifrematik uygulaması( veya benzeri bir uygulamaya) girmeniz gerekecek.Önce, Linux sisteminizdeki kullanıcı hesabınız olarak giriş yapın. Bir terminal penceresi açın ve google kimlik doğrulayıcısı komutunu çalıştırın. ve yazın ve burada gelen komutları takip edin. Bu, geçerli kullanıcı hesabının dizininde Google Şifrematik bilgisi bulunan özel bir dosya oluşturur.
Ayrıca, iki faktörlü doğrulama kodunu akıllı telefonunuzdaki bir Google Authenticator veya benzeri bir TOTP uygulaması haline getirme süreci boyunca yürüyeceksiniz. Sisteminiz tarayabileceğiniz bir QR kodu oluşturabilir veya manuel olarak yazabilirsiniz.
Telefonunuzu kaybederseniz oturum açmak için kullanabileceğiniz acil durum çizelgelerinizi not edin.
Bilgisayarınızı kullanan her kullanıcı hesabı için bu işlemi uygulayın.Örneğin, bilgisayarınızı kullanan tek kişiyseniz, normal kullanıcı hesabınızda bir kez yapabilirsiniz. Bilgisayarınızı kullanan bir başkanız varsa, kendi hesaplarında oturum açmalarını ve kendi hesabınız için uygun iki faktörlü bir kod oluşturmalarını istersiniz, böylece giriş yapabilirler.
Kimlik Doğrulamayı Etkinleştir
İşte buradaişler biraz uçuklaşıyor. SSH oturum açma işlemleri için iki faktörün nasıl etkinleştirileceğini açıkladığımızda, yalnızca SSH oturum açma işlemleri için gerekliydi. Bu, kimlik doğrulama uygulamanızı kaybettiyseniz veya bir şeyler ters gittiğinde yerel olarak hala oturum açabilmenizi sağladı.
Yerel oturumlar için iki faktörlü kimlik doğrulamasını etkinleştirdiğimiz için burada potansiyel sorunlar var. Bir şeyler ters giderse, giriş yapamayabilirsiniz. Bunu göz önünde bulundurarak, yalnızca grafiksel oturum açma işlemleri için etkinleştirerek devam ettirelim. Buna ihtiyacınız olursa size bir kaçış kapağı verilir.
Ubuntu
'de Grafik Giriş İşlemleri için Google Authenticator'ı Etkinleştirin Metin isteminde oturum açtığınızda gereksinimi atlayarak yalnızca grafiksel oturum açma işlemleri için iki adımlı kimlik doğrulamasını her zaman etkinleştirebilirsiniz. Bu, sanal bir terminale kolayca geçebileceğiniz, orada oturum açabileceğiniz ve değişikliklerinizi geri alabileceğiniz, böylece bir sorun yaşarsanız Gogole Authenciator'ın gerekli olmayacağı anlamına gelir.
Tabii, bu kimlik doğrulama sisteminizde bir boşluk açar, ancak sisteminize fiziksel olarak erişebilen bir saldırgan zaten onu zaten kullanabilir. Bu nedenle iki faktörlü kimlik doğrulama, SSH aracılığıyla uzaktan oturum açma işlemlerinde özellikle etkilidir.
Bunu, LightDM oturum açma yöneticisini kullanan Ubuntu için nasıl yapabilirsiniz. LightDM dosyasını aşağıdaki gibi bir komutla düzenlemek için açın:
sudo gedit /etc/pam.d/ lightdm
( Unutmayın, bu belirli adımlar yalnızca Linux dağıtımınız ve masaüstünüz LightDM oturum açma yöneticisini kullanıyorsa geçerlidir.)
Aşağıdaki satırı,dosyayı kaydedin ve kaydedin:
auth required pam_google_authenticator.so nullok
Sonunda "nullok" biti, sistemin bir kullanıcıya oturum açmasına izin vermesini söyler. Bu komut, google-authenticator komutunu çalıştırıp çalıştırmadığı halde,faktör kimlik doğrulaması.Eğer kurmuşlarsa, bir zaman kodu girmeleri gerekecek - aksi halde yapmayacaklardır."Nullok" u kaldırın ve bir Google Authenticator kodu oluşturmayan kullanıcı hesapları yalnızca grafik olarak oturum açamayacak.
Bir kullanıcı grafik olarak bir sonraki oturum açışında, parolaları sorulur ve telefonlarında görüntülenen geçerli doğrulama kodunu girmeniz istenecektir. Doğrulama kodunu girmezlerse, oturum açmalarına izin verilmeyecektir.
En yaygın Linux masaüstü oturum yöneticileri PAM kullandıklarından, süreç diğer Linux dağıtımı ve masaüstleri için oldukça benzer olmalıdır. Muhtemelen, uygun PAM modülünü etkinleştirmek için benzer başka bir dosyayı düzenlemeniz yeterlidir.
Ev Dizini Şifrelemesini Kullanırsanız
Ubuntu'nun eski sürümleri, şifrenizi girene kadar tüm ev dizininizi şifreleyen kolay bir "ev klasörü şifreleme" seçeneği sundu.Özellikle, bu ekryptfs kullanır. Bununla birlikte, PAM yazılımı varsayılan olarak ev dizininizde saklanan bir Google Authenticator dosyasına bağlı olduğundan, şifreleme, oturum açmadan önce şifrelenmemiş formda olmasını sağlamadığınız sürece dosyayı okurken PAM ile etkileşime girer. Oturum açmadan önce README'ye başvurun. Bu sorunla başa çıkma konusunda bilgi hala kullanmıyorsa şu önerilmemiş ana dizin şifreleme seçenekleri.
Ubuntu'nun modern sürümleri, yukarıdaki seçeneklerle sorunsuz çalışacak tam disk şifreleme sunar.Özel bir şey yapmak zorunda değilsiniz
Yardım, Kırıldı!
Sadece bunu grafiksel oturum açma işlemleri için etkinleştirdik, çünkü bir soruna neden oluyorsa devre dışı bırakmak kolay olmalıdır. Sanal bir terminale erişmek için Ctrl + Alt + F2 gibi bir tuş kombinasyonuna basın ve orada kullanıcı adınız ve şifrenizle giriş yapın. Daha sonra dosyayı düzenlemek için bir terminal metin düzenleyicisinde açmak için sudo nano /etc/pam.d/ lightdm gibi bir komutu kullanabilirsiniz. Hattı kaldırmak ve dosyayı kaydetmek için Nano kılavuzumuzu kullanın; normal şekilde tekrar giriş yapabileceksiniz.
Diğer kimlik doğrulama dosyalarına "auth required pam_google_authenticator.so" satırı ekleyerek, Google Authenticator'ın diğer oturum açma türleri için( hatta tüm sistem oturum açma işlemleri için) zorunlu kılınmasını sağlayabilirsiniz. Bunu yaparsan dikkatli ol. Ve unutmayın, "nullok" eklemek isteyebilirsiniz, böylece kurulum işleminden geçmemiş olan kullanıcılar hala oturum açabilirler.
Bu PAM modülünün nasıl kullanılacağı ve kurulacağı hakkında daha fazla belge, yazılımın GitHub'daki README dosyasında bulunabilir.