לינוקס ידועה בדרישה לבצע סיסמהכל דבר למערכת הליבה. הסיבה לכך היא שרבים רואים את לינוקס מעט יותר מאובטחת מרוב מערכות ההפעלה (אם כי אינה מושלמת בשום אמצעי). בעל סיסמה חזקה, ומדיניות סודארית טובה זה נהדר, אבל זה לא הוכחה לטיפש, ולפעמים זה לא מספיק כדי להגן עליך. זו הסיבה שרבים בתחום האבטחה הקפידו להשתמש באימות דו-גורמי בלינוקס
במאמר זה נעבור כיצד לאפשר אימות של שני גורמים ב- Linux באמצעות Google Authenticator.
התקנה
השימוש במאמת של גוגל אפשרי, הודות לפלאגין של pam. השתמש בתוסף זה עם GDM (ומנהלי שולחן עבודה אחרים התומכים בו). כך תתקין אותה במחשב הלינוקס שלך.
הערה: לפני שתגדיר את התוסף הזה במחשב הלינוקס שלך, אנא עבור לחנות Google Play (או) Apple App Store והורד את Google Authenticator, מכיוון שזה חלק מרכזי במדריך זה.
אובונטו
sudo apt install libpam-google-authenticator
דביאן
sudo apt-get install libpam-google-authenticator
קשת לינוקס
קשת לינוקס אינה תומכת בפאם גוגלמודול האימות כברירת מחדל. משתמשים במקום זאת יצטרכו לתפוס ולהרכיב את המודול באמצעות חבילת AUR. הורד את הגרסה האחרונה של PKGBUILD, או כוון את עוזר ה- AUR האהוב עליכם בכדי שזה יעבוד.
פדורה
sudo dnf install google-authenticator
OpenSUSE
sudo zypper install google-authenticator-libpam
לינוקסים אחרים
קוד המקור לגירסת לינוקס של גוגלהמאמת, כמו גם התוסף libpam המשמש במדריך זה, זמין בקלות ב- Github. אם אתה משתמש בהפצה לינוקס לא מסורתית, עבור לכאן ופעל לפי ההוראות שבדף. ההוראות יכולות לעזור לך להרכיב אותה מהמקור.
הגדר את המאמת של גוגל בלינוקס
קובץ תצורה זקוק לעריכה לפני ש- pam יעבוד עם התוסף Google Authentication. לשינוי קובץ תצורה זה, פתח חלון מסוף. בתוך הטרמינל, הפעל:
sudo nano /etc/pam.d/common-auth
בתוך הקובץ הרשמי-הרשמי יש הרבהלהסתכל על. המון הערות והערות כיצד המערכת צריכה להשתמש בהגדרות אימות בין שירותים ב- Linux. התעלם מכל זה בקובץ, וגלול עד למטה ל- "# הנה המודולים לכל חבילה (הבלוק" הראשי "). הזז את הסמן מתחתיו באמצעות מקש החץ למטה ולחץ על Enter כדי ליצור שורה חדשה. ואז כתוב את זה:
auth required pam_google_authenticator.so
לאחר כתיבת קו חדש זה, לחץ על CTRL + O לשמירת העריכה. ואז לחץ CTRL + X לצאת מננו.
בשלב הבא חזור לטרמינל והקלד "google-authenticator". לאחר מכן תתבקש לענות על כמה שאלות.
השאלה הראשונה שמאמת גוגל שואלת היא "האם אתה רוצה שאסימוני אימות יהיו מבוססי זמן". ענה "כן" על ידי לחיצה על y במקלדת.
לאחר תשובה לשאלה זו, הכלי ידפיס מפתח סודי חדש, יחד עם כמה קודי חירום. רשום את הקוד הזה, כפי שהוא חשוב.
המשך הלאה וענה על שלוש השאלה הבאה כ"כן ", ואחריהן" לא "ו"לא".
השאלה האחרונה שאותה אותנט שואל צריך לעשותעם הגבלת תעריף. הגדרה זו כאשר מופעלת הופכת אותה כך המאמת של גוגל יאפשר רק 3 ניסיונות ניסיון / כשל בכל 30 שניות. מסיבות אבטחה, אנו ממליצים לך לענות בחיוב על כך, אך זה בסדר לחלוטין לענות לא אם הגבלת התעריף איננה משהו שאכפת לך ממנו.
מגדיר את תצורת המאמת של גוגל
הצד של לינוקס של הדברים עובד. עכשיו הגיע הזמן לקבוע את התצורה של אפליקציית המאמת של גוגל כך שתפעל עם ההגדרה החדשה. כדי להתחיל, פתח את האפליקציה ובחר באפשרות "הזן מפתח שסופק". זה מציג אזור "הזן פרטי חשבון".
בתחום זה ישנם שני דברים למילוי: את שם המחשב האישי בו אתה משתמש במאמת, כמו גם את המפתח הסודי שרשמת קודם. מלא את שני אלה, והמאמת של Google יפעל.
מתחבר
הגדרת את המאמת של Google ב- Linux, בתורכמו גם המכשיר הנייד שלך והכל עובד יחד כמו שצריך. כדי להתחבר, בחר את המשתמש ב- GDM (או LightDM וכו '). מיד לאחר בחירת המשתמש, מערכת ההפעלה שלך תבקש קוד אימות. פתח את המכשיר הנייד שלך, עבור אל המאמת של גוגל והזן את הקוד שמופיע במנהל ההתחברות.
אם הקוד מוצלח, תוכל להזין את קוד הסיסמה של המשתמש.
הערה: הגדרת המאמת של Google ב- Linux אינה משפיעה רק על מנהל הכניסה. במקום זאת, בכל פעם שמשתמש מנסה להשיג גישה לשורש, לגשת להרשאות sudo, או לעשות כל דבר שדורש סיסמה, יש צורך לבצע קוד אימות.
סיכום
בעל אימות של שני גורמים ישירותהמחובר לשולחן העבודה של Linux מוסיף שכבת אבטחה נוספת שאמורה להיות שם כברירת מחדל. כאשר הדבר מאופשר, קשה הרבה יותר לקבל גישה למערכת של מישהו.
שני גורמים יכולים להיות נוחים לפעמים (כמו אם אתה איטי מדי לאימות), אך בסך הכל זו תוספת מבורכת לכל מנהל שולחן עבודה של לינוקס.
הערות