Linuxin tiedetään vaativan salasananmitään ydinjärjestelmään. Juuri tästä syystä monet pitävät Linuxia hiukan turvallisempana kuin useimmat käyttöjärjestelmät (vaikkakaan eivät millään tavoin täydellisiä). Vahva salasana ja hyvä sudoer-käytäntö on hienoa, mutta se ei ole tyhmätöntä, ja toisinaan se ei riitä suojelemiseen. Siksi monet turvallisuusalalla ovat ryhtyneet käyttämään kaksifaktorista todennusta Linuxissa
Tässä artikkelissa käydään läpi kuinka ottaa kaksivaiheinen todennus käyttöön Linuxissa Google Authenticatorin avulla.
Asennus
Google Authenticatorin käyttö on mahdollista pam-laajennuksen ansiosta. Käytä tätä laajennusta GDM: n (ja muiden sitä tukevien työpöytähallintojen) kanssa. Näin asennat sen Linux-tietokoneellesi.
Huomaa: Ennen kuin asennat tämän laajennuksen Linux-tietokoneellesi, mene Google Play Kauppaan (tai) Apple App Store -sovellukseen ja lataa Google Authenticator, koska se on tärkeä osa tätä opetusohjelmaa.
ubuntu
sudo apt install libpam-google-authenticator
Debian
sudo apt-get install libpam-google-authenticator
Arch Linux
Arch Linux ei tue pam Googleatodennusmoduuli oletuksena. Sen sijaan käyttäjien on tartuttava ja käännettävä moduuli AUR-paketin kautta. Lataa PKGBUILD: n uusin versio tai osoita suosikki AUR-auttajasi siihen saadaksesi sen toimimaan.
fedora
sudo dnf install google-authenticator
OpenSUSE
sudo zypper install google-authenticator-libpam
Muut Linuxit
Googlen Linux-version lähdekoodiAuthenticator sekä tässä oppaassa käytetty libpam-laajennus on helposti saatavana Githubista. Jos käytät ei-perinteistä Linux-jakelua, siirry tähän ja seuraa sivun ohjeita. Ohjeet voivat auttaa sinua kääntämään sen lähteestä.
Asenna Google Authenticator Linux-käyttöjärjestelmälle
Konfiguraatiotiedosto on muokattava, ennen kuin pam toimii Google Authentication -laajennuksen kanssa. Jos haluat muokata tätä asetustiedostoa, avaa pääteikkuna. Aja terminaalin sisällä:
sudo nano /etc/pam.d/common-auth
Common-auth-tiedoston sisällä on paljonKatso. Paljon kommentteja ja huomautuksia siitä, kuinka järjestelmän tulisi käyttää todennusasetuksia Linux-palveluiden välillä. Ohita tämä kaikki tiedostossa ja vieritä alaspäin kohtaan "# tässä ovat pakettikohtaiset moduulit (" Ensisijainen "-lohko)". Siirrä kohdistin sen alapuolelle nuolinäppäimellä ja kirjoita uusi rivi painamalla enter-näppäintä. Kirjoita sitten tämä:
auth required pam_google_authenticator.so
Kun olet kirjoittanut uuden linjan, paina CTRL + O tallentaaksesi muokkauksen. Paina sitten CTRL + X poistua Nanosta.
Palaa seuraavaksi takaisin terminaaliin ja kirjoita “google-todentaja”. Sitten sinua pyydetään vastaamaan joihinkin kysymyksiin.
Ensimmäinen Google Authenticatorin kysymys on ”Haluatko todennuslomakkeiden olevan aikapohjaisia”. Vastaa ”kyllä” painamalla näppäimistön y-painiketta.
Kun olet vastannut tähän kysymykseen, työkalu tulostaa uuden salaisen avaimen yhdessä joidenkin hätäkoodien kanssa. Kirjoita nämä koodit alas, koska se on tärkeää.
Jatka ja vastaa kolmeen seuraavaan kysymykseen ”kyllä”, jota seuraa “ei” ja “ei”.
Viimeinen autentikoijan esittämä kysymys on tehtävänopeuden rajoituksella. Tämä asetus, kun se on käytössä, tekee siitä, että Google Authenticator sallii vain 3 yrittämis- / epäonnistumisyrityksen 30 sekunnin välein. Turvallisuussyistä suosittelemme, että vastaat kyllä tähän, mutta on täysin mahdollista vastata ei, jos hinnan rajoittaminen ei ole sinua kiinnostava asia.
Google Authenticatorin määrittäminen
Asioiden Linux-puoli toimii. Nyt on aika määrittää Google Authenticator -sovellus niin, että se toimii uuden asennuksen kanssa. Aloita avaamalla sovellus ja valitsemalla vaihtoehto “kirjoita toimitettu avain”. Tämä tuo esiin “anna tilin tiedot” -alueen.
Tällä alueella on kaksi asiaa, jotka on täytettävä: tietokoneen nimi, jolla käytät todentajaa, sekä salainen avain, jonka kirjoitit aiemmin. Täytä molemmat nämä, ja Google Authenticator toimii.
Kirjautua sisään
Olet määrittänyt Google Authenticatorin Linuxissa, assamoin kuin mobiililaitteesi ja kaikki toimii yhdessä niin kuin pitäisi. Kirjaudu sisään valitsemalla käyttäjä GDM: ssä (tai LightDM jne.). Heti käyttäjän valinnan jälkeen käyttöjärjestelmäsi kysyy todennuskoodia. Avaa mobiililaitteesi, siirry Google Authenticatoriin ja kirjoita sisäänkirjautumisen hallintaan ilmestyvä koodi.
Jos koodi onnistuu, voit antaa käyttäjän salasanan.
Huomautus: Google Authenticatorin määrittäminen Linuxille ei vaikuta vain kirjautumisen hallintaan. Sen sijaan joka kerta, kun käyttäjä yrittää päästä pääkäyttäjään, käyttää sudo-oikeuksia tai tehdä jotain, joka vaatii salasanan, tarvitaan todennuskoodi.
johtopäätös
Kahden tekijän todennus suoraanliitetty Linux-työpöydälle lisää ylimääräisen suojauskerroksen, jonka pitäisi olla siellä oletuksena. Kun tämä on käytössä, on paljon vaikeampaa päästä jonkun järjestelmään.
Kaksi tekijää voi olla toisinaan turhia (kuten jos olet liian hidas autentikoijalle), mutta kaiken kaikkiaan se on tervetullut lisäys mihin tahansa Linux-työpöydänhallintaan.
Kommentit