Kaip prisijungti prie „Linux“ darbalaukio su „Google“ autentifikatoriumi
Norėdami gauti papildomą apsaugą, galite reikalauti laiko pagrindu veikiančio atpažinimo ženklo ir slaptažodžio, kad galėtumėte prisijungti prie „Linux“ kompiuterio. Šiame sprendime naudojama „Google“ autentifikavimo priemonė ir kitos „TOTP“ programos.
Šis procesas buvo atliktas „Ubuntu 14.04“ su standartiniu „Unity“ darbalaukiu ir „LightDM“ prisijungimo vadybininku, tačiau principai yra vienodi daugumoje „Linux“ platinimo ir stalinių kompiuterių.
Anksčiau parodėme, kaip reikalauti „Google“ autentifikatoriaus nuotolinės prieigos per SSH, ir šis procesas yra panašus. Tam nereikia „Google“ autentifikavimo programos, bet veikia su bet kuria suderinama programa, įgyvendinančia TOTP autentifikavimo schemą, įskaitant „Authy“.
Įdiekite „Google Authenticator PAM“
Kaip ir nustatant SSH prieigą, pirmiausia turėsime įdiegti atitinkamą PAM („pluggable-authentication module“) programinę įrangą. PAM yra sistema, leidžianti prijungti įvairių tipų autentifikavimo metodus į Linux sistemą ir reikalauti jų.
„Ubuntu“ ši komanda įdiegs „Google“ autentifikatoriaus PAM. Atidarykite terminalo langą, įveskite šią komandą, paspauskite „Enter“ ir pateikite savo slaptažodį. Sistema parsisiunčia PAM iš jūsų Linux platinimo programinės įrangos saugyklų ir ją įdiegs:
sudo apt-get įdiegti „libpam-google-authentator“
Tikėtina, kad kiti „Linux“ platinimai turėtų būti prieinami, kad būtų lengva įdiegti, taip pat atidarykite „Linux“ platinimo programinės įrangos saugyklas ir atlikite paiešką. Blogiausiu atveju galite rasti „GitHub“ PAM modulio šaltinio kodą ir jį patys.
Kaip jau minėjome, šis sprendimas nepriklauso nuo „namų„ skambinimo “į„ Google “serverius. Jis įgyvendina standartinį TOTP algoritmą ir gali būti naudojamas net tada, kai jūsų kompiuteris neturi interneto prieigos.
Sukurkite autentifikavimo raktus
Dabar turėsite sukurti slaptą autentifikavimo raktą ir įvesti jį į „Google“ autentifikavimo programos (ar panašios) programą telefone. Pirma, prisijunkite kaip savo vartotojo sąskaitą savo „Linux“ sistemoje. Atidarykite terminalo langą ir paleiskite „google“ autentifikatorius komandą. Tipas y ir vadovaukitės čia pateiktais nurodymais. Tai sukurs specialią failą dabartiniame vartotojo abonemento kataloge su „Google“ autentifikavimo priemonės informacija.
Jūs taip pat nueisite per šį dviejų veiksnių patvirtinimo kodą į „Google“ autentifikavimo priemonę arba panašią „TOTP“ programą savo išmaniajame telefone. Jūsų sistema gali generuoti QR kodą, kurį galite nuskaityti, arba galite jį įvesti rankiniu būdu.
Nepamirškite užsirašyti avarinio įbrėžimo kodų, kuriuos galite naudoti prisijungdami, jei prarasite savo telefoną.
Eikite per šį procesą kiekvienam naudotojo abonementui, kuris naudoja kompiuterį. Pavyzdžiui, jei esate vienintelis asmuo, kuris naudoja kompiuterį, galite tai padaryti vieną kartą savo įprastoje vartotojo abonemente. Jei turite ką nors kito, kuris naudoja jūsų kompiuterį, norėsite, kad jie prisijungtų prie savo paskyros ir savo sąskaita sukurtų tinkamą dviejų faktorių kodą, kad jie galėtų prisijungti.
Aktyvinti autentifikavimą
Štai kur viskas truputį pasidaro. Kai paaiškinome, kaip įgalinti dviejų veiksnių SSH prisijungimus, mes privalome ją naudoti tik SSH prisijungimams. Tai užtikrino, kad vis tiek galėtumėte prisijungti vietoje, jei praradote autentiškumo patvirtinimo programą, arba jei kažkas negerai.
Kadangi mes įgalinsime dviejų veiksnių autentiškumą vietiniams prisijungimams, čia gali kilti problemų. Jei kažkas negerai, gali būti, kad negalėsite prisijungti. Turėdami tai omenyje, jums bus suteikta galimybė ją įjungti tik grafiniams prisijungimams. Tai suteikia jums evakuacijos liuką, jei to reikia.
Įgalinti „Google“ autentifikatorių „Graphic Logins“ „Ubuntu“
Visada galite įgalinti dviejų etapų autentifikavimą tik grafiniams prisijungimams, praleidžiant reikalavimą, kai prisijungiate iš teksto eilutės. Tai reiškia, kad galite lengvai persijungti į virtualųjį terminalą, prisiregistruoti ir grąžinti pakeitimus, kad „Gogole Authenciator“ nebūtų reikalingas, jei susidursite su problema.
Žinoma, tai atveria skylę jūsų autentifikavimo sistemoje, tačiau fizinis priėjimas prie jūsų sistemos užpuolikas jau gali jį išnaudoti. Štai kodėl dviejų veiksnių autentiškumas yra ypač veiksmingas nuotoliniams prisijungimams per SSH.
Štai kaip tai padaryti „Ubuntu“, kuris naudoja „LightDM“ prisijungimo tvarkyklę. Atidarykite „LightDM“ failą redagavimui naudodami tokią komandą:
sudo gedit /etc/pam.d/lightdm
(Atminkite, kad šie konkretūs veiksmai veiks tik tada, jei jūsų „Linux“ platinimas ir darbalaukis naudoja „LightDM“ prisijungimo tvarkyklę.)
Į failo pabaigą pridėkite šią eilutę ir išsaugokite ją:
reikalingas pam_google_authenticator.so nullok
„Nullok“ bitė pabaigoje nurodo sistemai leisti vartotojui prisijungti, net jei jie neveikia „google-authentator“ komandos, kad nustatytų dviejų veiksnių autentifikavimą. Jei jie ją nustatė, jie turės įvesti laiko kodą - kitaip jie nebus. Pašalinkite „nullok“ ir naudotojo paskyros, kurios nenustatė „Google“ autentifikavimo kodo, tiesiog negalės prisijungti grafiškai.
Kitą kartą, kai vartotojas prisijungs grafiškai, jie bus paprašyti jų slaptažodžio, o paskui bus paprašyta pateikti esamą patvirtinimo kodą, rodomą jų telefone. Jei jie nepateikia patvirtinimo kodo, jie negali prisijungti.
Procesas turėtų būti gana panašus kitiems Linux platinimo ir staliniams kompiuteriams, nes dažniausiai naudojami „Linux“ darbalaukio sesijų vadovai naudoja PAM. Tikėtina, kad turėsite redaguoti kitą failą su kažkuo panašiu, kad aktyvuotumėte atitinkamą PAM modulį.
Jei naudojate „Home Directory Encryption“
Senesni Ubuntu leidiniai pasiūlė paprastą „namų aplanko šifravimo“ parinktį, kuri užkodavo visą jūsų namų katalogą, kol įvesite slaptažodį. Konkrečiai, tai naudoja „ecryptfs“. Tačiau, kadangi „PAM“ programinė įranga priklauso nuo „Google“ autentifikavimo failo, saugomo jūsų namų kataloge, pagal numatytuosius nustatymus šifravimas trukdo PAM skaityti failą, nebent užtikrinsite, kad ji būtų prieinama nešifruotai sistemai prieš prisijungiant. informacija apie tai, kaip išvengti šios problemos, jei jūs vis dar naudojate pasenusias namų katalogo šifravimo parinktis.
Šiuolaikinės Ubuntu versijos siūlo pilno disko šifravimą, kuris puikiai veiks su aukščiau pateiktomis parinktimis. Jums nereikia nieko ypatingo daryti
Pagalba, tai sumušė!
Kadangi tai tik įgalinome grafiniams prisijungimams, turėtų būti lengva išjungti, jei tai sukelia problemą. Paspauskite klavišų kombinaciją, pvz., „Ctrl“ + „Alt“ + F2, norėdami pasiekti virtualųjį terminalą ir prisijungti prie jo naudodami savo naudotojo vardą ir slaptažodį. Tada galite naudoti komandą, kaip sudo nano /etc/pam.d/lightdm, kad atidarytumėte failą redagavimui terminalo teksto redaktoriuje. Naudokite mūsų „Nano“ vadovą, kad pašalintumėte liniją ir išsaugotumėte failą, ir vėl galėsite prisijungti.
Taip pat galite priversti „Google“ autentifikatorių reikalauti kitiems prisijungimo tipams - galbūt net ir visiems sistemos prisijungimams - pridedant eilutę „privaloma pam_google_authenticator.so“ kitiems PAM konfigūracijos failams. Būkite atsargūs, jei tai darote. Ir nepamirškite, kad galbūt norėsite pridėti „nullok“, kad naudotojai, kurie neatliko įdiegimo proceso, vis tiek gali prisijungti.
Daugiau informacijos apie tai, kaip naudoti ir nustatyti šį PAM modulį, rasite programinės įrangos README faile „GitHub“.