Linuxで2要素認証を有効にしてログインする方法

Linuxはパスワードを要求することで知られていますコアシステムには何でも。このため、多くの人がLinuxをほとんどのオペレーティングシステムよりも少し安全だと考えています（決して完璧ではありません）。強力なパスワードと優れた優れたポリシーを持っていることは素晴らしいことですが、それは絶対確実ではなく、時にはあなたを保護するのに十分ではありません。これが、セキュリティ分野の多くがLinuxで2要素認証を使用するようになった理由です

この記事では、Google Authenticatorを使用してLinuxで2要素認証を有効にする方法について説明します。

設置

pamプラグインのおかげで、Google認証システムを使用できます。このプラグインをGDM（およびそれをサポートする他のデスクトップマネージャー）で使用します。 Linux PCにインストールする方法は次のとおりです。

注：Linux PCでこのプラグインをセットアップする前に、Google Playストア（または）Apple App Storeにアクセスし、Google Authenticatorをダウンロードしてください。これはこのチュートリアルの重要な部分です。

Ubuntu

sudo apt install libpam-google-authenticator

Debian

sudo apt-get install libpam-google-authenticator

Arch Linux

Arch LinuxはPAM Googleをサポートしていませんデフォルトでは認証モジュール。代わりに、ユーザーはAURパッケージを介してモジュールを取得してコンパイルする必要があります。 PKGBUILDの最新バージョンをダウンロードするか、お気に入りのAURヘルパーを指定して機能させてください。

フェドラ

sudo dnf install google-authenticator

OpenSUSE

sudo zypper install google-authenticator-libpam

その他のLinux

LinuxバージョンのGoogleのソースコードこのガイドで使用されているオーセンティケータとlibpamプラグインは、Githubで簡単に入手できます。従来とは異なるLinuxディストリビューションを使用している場合は、こちらに進み、ページの指示に従ってください。指示は、ソースからコンパイルするのに役立ちます。

LinuxでのGoogle認証システムのセットアップ

pamがGoogle認証プラグインと連携する前に、構成ファイルを編集する必要があります。この構成ファイルを変更するには、ターミナルウィンドウを開きます。ターミナル内で、次を実行します。

sudo nano /etc/pam.d/common-auth

common-authファイル内には、多くのことがあります見る。 Linux上のサービス間でシステムが認証設定を使用する方法に関する多くのコメントと注意事項。ファイル内のこれらすべてを無視し、「＃ここにパッケージごとのモジュール（「プライマリ」ブロック）があります」までスクロールダウンします。下矢印キーを使用してカーソルをその下に移動し、Enterキーを押して新しい行を作成します。次に、これを書きます：

auth required pam_google_authenticator.so

この新しい行を書き出した後、を押します CTRL + O 編集を保存します。次に CTRL + X Nanoを終了します。

次に、ターミナルに戻り、「google-authenticator」と入力します。その後、いくつかの質問に答えるよう求められます。

Google認証システムが最初に尋ねる質問は、「認証トークンを時間ベースにするか」です。キーボードのyを押して「はい」と答えます。

この質問に答えた後、ツールはいくつかの緊急コードとともに新しい秘密鍵を出力します。これらのコードは重要なので書き留めてください。

続けて、次の3つの質問に「はい」と答え、続いて「いいえ」と「いいえ」と答えます。

オーセンティケーターが最後に尋ねる質問はレート制限付き。この設定を有効にすると、Google認証システムは30秒ごとに3回の試行/失敗の試行のみを許可します。セキュリティ上の理由から、これに「はい」と答えることをお勧めしますが、レート制限が気にならない場合は、「いいえ」と答えても問題ありません。

Google認証システムの構成

物事のLinux側は機能しています。 次に、新しい設定で動作するようにGoogle認証システムアプリを設定します。開始するには、アプリを開き、「提供されたキーを入力する」オプションを選択します。これにより、「アカウントの詳細を入力」エリアが表示されます。

この領域には、2つの記入事項があります。 オーセンティケーターを使用しているPCの名前、および先に書き留めた秘密鍵。これらの両方を入力すると、Google認証システムが動作します。

ログインする

LinuxでGoogle認証システムをセットアップしました。モバイルデバイスとすべてが正常に機能します。ログインするには、GDM（またはLightDMなど）でユーザーを選択します。ユーザーを選択するとすぐに、オペレーティングシステムは認証コードを要求します。携帯端末を開き、Google認証システムにアクセスして、ログインマネージャーに表示されるコードを入力します。

コードが成功すると、ユーザーのパスコードを入力できるようになります。

注意： LinuxでGoogle認証システムを設定しても、ログインマネージャーに影響するだけではありません。代わりに、ユーザーがルートアクセスの取得、sudo特権へのアクセス、またはパスワードを必要とする何かを実行しようとするたびに、認証コードが必要です。

結論

二要素認証を直接持つLinuxデスクトップに接続すると、デフォルトでそこにあるはずのセキュリティ層が追加されます。これを有効にすると、誰かのシステムにアクセスするのがはるかに難しくなります。

2つの要因は時々不明瞭になることがあります（認証者にとって遅すぎる場合など）が、すべてのLinuxデスクトップマネージャーへの歓迎すべき追加です。