If-Koubou

Kuinka kirjautua Linux-työpöytään Google Authenticatorilla

Kuinka kirjautua Linux-työpöytään Google Authenticatorilla (Miten)

Lisäsuojaa varten voit tarvita aikapohjaisen todennustunnisteen sekä salasanan kirjautumalla Linux-tietokoneeseen. Tämä ratkaisu käyttää Google Authenticatoria ja muita TOTP-sovelluksia.

Tämä prosessi tehtiin Ubuntu 14.04 -ohjelmistolla standardin Unity-työpöydällä ja LightDM-kirjautumisjohtajalla, mutta periaatteet ovat samat useimmissa Linux-jakeluissa ja työpöyissä.

Aiemmin näytimme sinulle, kuinka vaatia Google Authenticatoria etäyhteyden kautta SSH: n kautta, ja tämä prosessi on samanlainen. Tämä ei vaadi Google Authenticator -sovellusta, vaan toimii yhteensopivana sovelluksena, joka toteuttaa TOTP-todennusohjelman, mukaan lukien Authy.

Asenna Google Authenticator PAM

Kuten asetettaessa SSH: n käyttöön, meidän on ensin asennettava asianmukainen PAM ("pluggable-authentication module") -ohjelmisto. PAM on järjestelmä, jonka avulla voimme kytkeä eri tyyppisiä todentamismenetelmiä Linux-järjestelmään ja vaatia niitä.

Ubuntussa seuraava komento asentaa Google Authenticator PAM: n. Avaa Terminal-ikkuna, kirjoita seuraava komento, paina Enter ja anna salasanasi. Järjestelmä lataa PAM: n Linux-jakelun ohjelmistovarastoista ja asenna sen:

sudo apt-get asenna libpam-google-authenticator

Muiden Linux-jakelujen on toivottava, että tämä paketti on saatavana myös helppoa asennusta varten - avaa Linux-jakeluohjelmasi ohjelmistojen arkistot ja etsi se. Pahimmassa tapauksessa voit löytää PIM-moduulin lähdekoodin GitHubissa ja kääntää sen itse.

Kuten aiemmin huomautimme, tämä ratkaisu ei riipu "soittamalla kotiin" Googlen palvelimiin. Se toteuttaa standardin TOTP-algoritmia ja sitä voidaan käyttää myös silloin, kun tietokoneella ei ole Internet-yhteyttä.

Luo todennusavaimet

Sinun on nyt luotava salainen todennusavaimen ja syötettävä se puhelimen Google Authenticator -sovellukseen (tai vastaavaan). Kirjaudu ensin käyttäjätunnuksellesi Linux-järjestelmässä. Avaa pääteikkuna ja suorita google-authenticator komento. Tyyppi y ja seuraa kehotteita täällä. Tämä luo erityisen tiedoston nykyiseen käyttäjätilin hakemistoon, jossa on Google Authenticator -tiedot.

Sinua ohjataan myös prosessin avulla, jolla tämä kaksitasoinen vahvistuskoodi tulee Google-todentajaan tai vastaavan TOTP-sovelluksen älypuhelimeen. Järjestelmäsi voi luoda QR-koodin, jonka voit skannata, tai voit kirjoittaa sen manuaalisesti.

Muista tallentaa hätätilan naarmuuntumiskoodit, joiden avulla voit kirjautua sisään, jos menetät puhelimesi.

Käy läpi tämä prosessi jokaiselle käyttäjälle, joka käyttää tietokonetta. Jos olet esimerkiksi ainoa henkilö, joka käyttää tietokonetta, voit tehdä sen vain normaalilla käyttäjätililläsi. Jos sinulla on joku muu, joka käyttää tietokonetta, sinun kannattaa tehdä heidät kirjautumaan omaan tiliinsä ja luomaan sopiva kaksitasoinen koodi omaan tiliinsä, jotta he voivat kirjautua sisään.

Aktivoi todennus

Tässä on jotain vähän hämärää. Kun selitimme, kuinka SSH-kirjautumistiedot voidaan ottaa käyttöön kahdelle tekijälle, vaadimme vain SSH-kirjautumisia. Tämä varmisti, että voit kirjautua sisään paikallisesti, jos menetät todentamissovelluksen tai jos jokin meni pieleen.

Koska voimme ottaa käyttöön kaksitasoisen todennuksen paikallisille kirjautumisille, tässä on mahdollisia ongelmia. Jos jotain menee pieleen, et ehkä voi kirjautua sisään. Kun pidämme mielessä, kuljemme sinut läpi, kun otat tämän käyttöön vain graafisissa kirjautumisissa. Tämä antaa sinulle paikanluukun, jos tarvitset sitä.

Ota Google Authenticator käyttöön graafisissa kirjautumisissa Ubuntuun

Voit aina ottaa kaksivaiheisen todennuksen vain graafisiin kirjautumisiin, jättämällä vaatimuksen kirjautumalla tekstiviestikyselyyn. Tämä tarkoittaa sitä, että voit helposti siirtyä virtuaalipäätteeseen, kirjautua sinne ja palauttaa muutokset, jotta Gogole Authenciatoria ei tarvita, jos sinulla on ongelma.

Toki, tämä avaa reitit autentikointijärjestelmässäsi, mutta hyökkääjä, jolla on fyysinen pääsy järjestelmään, voi jo hyödyntää sitä. Siksi kahden tekijän todentaminen on erityisen tehokasta etähallinnolle SSH: n kautta.

Näin voit tehdä tämän Ubuntulle, joka käyttää LightDM-kirjautumissuunnitelmaa. Avaa LightDM-tiedosto muokattavaksi seuraavan komennon avulla:

sudo gedit /etc/pam.d/lightdm

(Muista, että nämä konkreettiset vaiheet toimivat vain, jos Linux-jakelu ja työpöytäsi käyttävät LightDM-kirjautumisjohtajaa.)

Lisää seuraava rivi tiedoston loppuun ja tallenna se sitten:

auth tarvitaan pam_google_authenticator.so nullok

Nollak-bitti lopussa kertoo järjestelmän sallivan käyttäjän kirjautumisen, vaikka he eivät olisikaan suorittaneet google-authenticator -komentoa kahden tekijän todennuksen määrittämiseen. Jos he ovat asettaneet sen, he joutuvat kirjoittamaan aika-baesd-koodin - muuten he eivät. Poista nollok-käyttäjät ja käyttäjätilit, jotka eivät ole määrittäneet Google Authenticator -koodia, eivät pysty kirjautumaan graafisesti.

Seuraavan kerran, kun käyttäjä kirjautuu graafisesti, heitä pyydetään salasanalle ja kehotetaan antamaan nykyinen vahvistuskoodi puhelimessa. Jos he eivät anna vahvistuskoodia, he eivät saa kirjautua sisään.

Prosessin pitäisi olla melko samanlainen kuin muissa Linux-jakeluissa ja työpöyissä, sillä tavallisimmat Linux-työpöydän käsittelijät käyttävät PAM: ää. Sinun on todennäköisesti vain muokata eri tiedosto, jolla on jotain vastaavaa aktivoida asianmukainen PAM-moduuli.

Jos käytät kotihakemiston salausta

Ubuntun vanhemmat versiot tarjosivat helppokäyttöisen kotikansioiden salauksen, joka salasi koko kotihakemiston, kunnes kirjoitit salasanasi. Erityisesti tämä käyttää ecryptf: ää.Koska PAM-ohjelmisto riippuu oletusarvoisesti kotihakemistasi tallennetusta Google Authenticator -tiedostosta, salaus häiritsee PAM-tiedostoa lukemalla, ellei varmisteta, että se on käytettävissä salaamattomassa muodossa järjestelmään ennen kirjautumista. Lue lisätietoja README-palvelusta. tietoja tämän ongelman välttämisestä, jos käytät edelleen deprecated home -hakemiston salausvaihtoehtoja.

Ubuntun nykyaikaiset versiot tarjoavat täyden levyn salauksen, joka toimii hyvin edellä mainittujen asetusten kanssa. Sinun ei tarvitse tehdä mitään erityistä

Auta, se rikkoi!

Koska olemme salli tämän vain graafisen kirjautumisen yhteydessä, sen pitäisi olla helppo poistaa käytöstä, jos se aiheuttaa ongelman. Paina näppäimistön yhdistelmää, kuten Ctrl + Alt + F2, päästäksesi virtuaalipäätteeseen ja kirjaudu sisään siellä käyttäjänimelläsi ja salasanallasi. Tämän jälkeen voit käyttää komentoa, kuten sudo nano /etc/pam.d/lightdm, avataksesi muokattavan tiedoston tekstin päätoimittajana. Nano-oppaan avulla voit poistaa rivin ja tallentaa tiedoston, ja voit kirjautua uudelleen normaalisti uudelleen.

Voit myös pakottaa Google Authenticatorin tarvitsemaan muille kirjautumistyypeille - mahdollisesti jopa kaikki järjestelmän sisäänkirjautumiset - lisäämällä riville "auth required pam_google_authenticator.so" muille PAM-määritystiedoille. Ole varovainen, jos teet tämän. Muista, että haluat lisätä "nullok", jotta käyttäjät, jotka eivät ole käyneet läpi asennusprosessia, voivat silti kirjautua sisään.

Lisätietoja tämän PAM-moduulin käyttämisestä ja käyttöönotosta löytyy GitHub-ohjelmiston README-tiedostosta.