Linux ist dafür bekannt, dass es ein Passwort verlangtalles an das Kernsystem. Aus diesem Grund halten viele Linux für etwas sicherer als die meisten Betriebssysteme (obwohl keineswegs perfekt). Ein sicheres Passwort und eine gute Sudoer-Richtlinie sind großartig, aber nicht narrensicher. Manchmal reicht dies nicht aus, um Sie zu schützen. Aus diesem Grund haben sich viele im Sicherheitsbereich für die Zwei-Faktor-Authentifizierung unter Linux entschieden
In diesem Artikel wird erläutert, wie Sie die Zwei-Faktor-Authentifizierung unter Linux mithilfe von Google Authenticator aktivieren.
Installation
Die Verwendung von Google Authenticator ist dank eines Pam-Plugins möglich. Verwenden Sie dieses Plugin mit GDM (und anderen Desktop-Managern, die es unterstützen). So installieren Sie es auf Ihrem Linux-PC
Hinweis: Bevor Sie dieses Plugin auf Ihrem Linux-PC einrichten, rufen Sie den Apple App Store im Google Play Store (oder) auf und laden Sie Google Authenticator herunter, da es ein wichtiger Bestandteil dieses Lernprogramms ist.
Ubuntu
sudo apt install libpam-google-authenticator
Debian
sudo apt-get install libpam-google-authenticator
Arch Linux
Arch Linux unterstützt Google nichtAuthentifizierungsmodul standardmäßig. Benutzer müssen stattdessen das Modul über ein AUR-Paket abrufen und kompilieren. Laden Sie die neueste Version von PKGBUILD herunter, oder richten Sie Ihren bevorzugten AUR-Helfer darauf, damit es funktioniert.
Fedora
sudo dnf install google-authenticator
OpenSUSE
sudo zypper install google-authenticator-libpam
Andere Linuxe
Der Quellcode für die Linux-Version von GoogleDer Authenticator sowie das in diesem Handbuch verwendete libpam-Plugin sind auf Github verfügbar. Wenn Sie eine nicht traditionelle Linux-Distribution verwenden, befolgen Sie die Anweisungen auf der Seite. Die Anweisungen können Ihnen beim Kompilieren aus dem Quellcode helfen.
Richten Sie Google Authenticator unter Linux ein
Eine Konfigurationsdatei muss bearbeitet werden, bevor pam mit dem Google-Authentifizierungs-Plugin funktioniert. Öffnen Sie zum Ändern dieser Konfigurationsdatei ein Terminalfenster. Führen Sie im Terminal Folgendes aus:
sudo nano /etc/pam.d/common-auth
In der common-auth-Datei gibt es viel zu tunansehen. Viele Kommentare und Hinweise, wie das System Authentifizierungseinstellungen zwischen Diensten unter Linux verwenden soll. Ignorieren Sie dies alles in der Datei und scrollen Sie ganz nach unten zu "# hier sind die Module pro Paket (der" primäre "Block)". Bewegen Sie den Cursor mit der Nach-unten-Taste darunter und drücken Sie die Eingabetaste, um eine neue Zeile zu erstellen. Dann schreibe dies:
auth required pam_google_authenticator.so
Nachdem Sie diese neue Zeile geschrieben haben, drücken Sie STRG + O um die Bearbeitung zu speichern. Dann drücken STRG + X um Nano zu verlassen.
Kehren Sie als Nächstes zum Terminal zurück und geben Sie "google-authenticator" ein. Sie werden dann aufgefordert, einige Fragen zu beantworten.
Die erste Frage, die Google Authenticator stellt, lautet: "Möchten Sie, dass Authentifizierungstoken zeitbasiert sind?". Antworten Sie mit „Ja“, indem Sie y auf der Tastatur drücken.
Nach Beantwortung dieser Frage druckt das Tool einen neuen geheimen Schlüssel sowie einige Notfallcodes aus. Notieren Sie sich diesen Code, da er wichtig ist.
Fahren Sie fort und beantworten Sie die nächsten drei Fragen mit „Ja“, gefolgt von „Nein“ und „Nein“.
Die letzte Frage, die der Authenticator stellt, muss seinmit Ratenbegrenzung. Wenn diese Einstellung aktiviert ist, erlaubt Google Authenticator nur 3 Versuche / Fehlschläge alle 30 Sekunden. Aus Sicherheitsgründen empfehlen wir Ihnen, diese Frage mit "Ja" zu beantworten. Es ist jedoch in Ordnung, "Nein" zu beantworten, wenn Sie sich nicht für die Beschränkung der Geschwindigkeit interessieren.
Google Authenticator konfigurieren
Die Linux-Seite der Dinge funktioniert. Jetzt müssen Sie die Google Authenticator-App so konfigurieren, dass sie mit dem neuen Setup funktioniert. Öffnen Sie zum Starten die App und wählen Sie die Option „Geben Sie einen bereitgestellten Schlüssel ein“. Daraufhin wird ein Bereich zum Eingeben von Kontodaten angezeigt.
In diesem Bereich müssen zwei Dinge ausgefüllt werden: den Namen des PCs, mit dem Sie den Authentifikator verwenden, sowie den geheimen Schlüssel, den Sie zuvor notiert haben. Wenn Sie beide Felder ausfüllen, ist Google Authenticator betriebsbereit.
Einloggen
Sie haben Google Authenticator unter Linux als eingerichtetgut wie dein mobiles Gerät und alles funktioniert so wie es sollte. Wählen Sie zum Anmelden den Benutzer in GDM (oder LightDM usw.) aus. Unmittelbar nach Auswahl des Benutzers fordert Ihr Betriebssystem einen Authentifizierungscode an. Öffnen Sie Ihr Mobilgerät, rufen Sie Google Authenticator auf und geben Sie den Code ein, der im Anmeldemanager angezeigt wird.
Wenn der Code erfolgreich ist, können Sie den Passcode des Benutzers eingeben.
Hinweis: Das Einrichten von Google Authenticator unter Linux wirkt sich nicht nur auf den Anmeldemanager aus. Stattdessen ist jedes Mal, wenn ein Benutzer versucht, Root-Zugriff zu erlangen, auf Sudo-Berechtigungen zuzugreifen oder etwas zu tun, das ein Kennwort erfordert, ein Authentifizierungscode erforderlich.
Fazit
Direkte Zwei-Faktor-AuthentifizierungWenn eine Verbindung zum Linux-Desktop besteht, wird eine zusätzliche Sicherheitsebene hinzugefügt, die standardmäßig vorhanden sein sollte. Wenn diese Option aktiviert ist, ist es viel schwieriger, auf das System einer anderen Person zuzugreifen.
Zwei Faktoren können manchmal problematisch sein (zum Beispiel, wenn Sie für den Authentifikator zu langsam sind), aber insgesamt ist dies eine willkommene Ergänzung für jeden Linux-Desktop-Manager.
Bemerkungen