Linux jest znany z tego, że wymaga hasłacokolwiek do systemu rdzenia. Z tego powodu wielu uważa Linuksa za nieco bezpieczniejszy niż większość systemów operacyjnych (choć w żadnym wypadku nie jest doskonały). Posiadanie silnego hasła i dobrych zasad sudoer jest świetne, ale nie jest głupie, a czasem nie wystarczy, aby cię chronić. Właśnie dlatego wielu w dziedzinie bezpieczeństwa zaczęło używać uwierzytelniania dwuskładnikowego w systemie Linux
W tym artykule omówimy, jak włączyć uwierzytelnianie dwuskładnikowe w systemie Linux za pomocą Google Authenticator.
Instalacja
Korzystanie z Google Authenticator jest możliwe dzięki wtyczce pam. Użyj tej wtyczki z GDM (i innymi menedżerami pulpitu, które ją obsługują). Oto jak zainstalować go na komputerze z systemem Linux.
Uwaga: przed skonfigurowaniem tej wtyczki na komputerze z systemem Linux przejdź do Google Play Store (lub) Apple App Store i pobierz Google Authenticator, ponieważ jest to kluczowa część tego samouczka.
Ubuntu
sudo apt install libpam-google-authenticator
Debian
sudo apt-get install libpam-google-authenticator
Arch Linux
Arch Linux nie obsługuje pam Googlemoduł uwierzytelniania domyślnie. Zamiast tego użytkownicy będą musieli pobrać i skompilować moduł za pomocą pakietu AUR. Pobierz najnowszą wersję PKGBUILD lub skieruj na nią swojego ulubionego pomocnika AUR, aby działał.
Fedora
sudo dnf install google-authenticator
OpenSUSE
sudo zypper install google-authenticator-libpam
Inne Linuxes
Kod źródłowy wersji Google dla LinuxaAuthenticator, a także wtyczka libpam zastosowana w tym przewodniku są łatwo dostępne na Github. Jeśli używasz nietradycyjnej dystrybucji Linuksa, przejdź tutaj i postępuj zgodnie z instrukcjami na stronie. Instrukcje mogą pomóc Ci skompilować go ze źródła.
Skonfiguruj Google Authenticator w systemie Linux
Plik konfiguracyjny wymaga edycji, zanim pam będzie działał z wtyczką Google Authentication. Aby zmodyfikować ten plik konfiguracyjny, otwórz okno terminala. W terminalu uruchom:
sudo nano /etc/pam.d/common-auth
W pliku common-auth jest wiele do zrobieniapatrzeć na. Wiele komentarzy i uwag na temat tego, jak system powinien używać ustawień uwierzytelniania między usługami w systemie Linux. Zignoruj to wszystko w pliku i przewiń w dół do „# tutaj są moduły na pakiet (blok„ Główny ”). Przesuń kursor pod nim za pomocą klawisza strzałki w dół i naciśnij klawisz Enter, aby utworzyć nową linię. Następnie napisz:
auth required pam_google_authenticator.so
Po zapisaniu tej nowej linii naciśnij CTRL + O aby zapisać edycję. Następnie wciśnij CTRL + X wyjść z Nano.
Następnie wróć do terminala i wpisz „google -hentator”. Następnie zostaniesz poproszony o udzielenie odpowiedzi na kilka pytań.
Pierwsze pytanie, które zadaje Google Authenticator, brzmi: „Czy chcesz, aby tokeny uwierzytelniające były oparte na czasie”? Odpowiedz „tak”, naciskając y na klawiaturze.
Po udzieleniu odpowiedzi na to pytanie narzędzie wydrukuje nowy tajny klucz oraz niektóre kody alarmowe. Zapisz ten kod, ponieważ jest to ważne.
Kontynuuj i odpowiedz na kolejne trzy pytania jako „tak”, a następnie „nie” i „nie”.
Ostatnie pytanie, które zadaje uwierzytelniający, musi zrobićz ograniczeniem prędkości. To ustawienie, gdy jest włączone, sprawia, że Google Authenticator zezwala tylko na 3 próby prób / niepowodzenia co 30 sekund. Ze względów bezpieczeństwa zalecamy odpowiedź twierdzącą na to pytanie, ale odpowiedź OK jest całkowicie OK, jeśli ograniczanie stawek nie jest czymś, na czym Ci zależy.
Konfigurowanie Google Authenticator
Działa strona systemu Linux. Teraz nadszedł czas, aby skonfigurować aplikację Google Authenticator, aby działała z nową konfiguracją. Aby rozpocząć, otwórz aplikację i wybierz opcję „wprowadź dostarczony klucz”. Pojawi się obszar „wprowadź dane konta”.
W tym obszarze należy wypełnić dwie rzeczy: nazwa komputera, na którym używasz uwierzytelniacza, a także tajny klucz, który zapisałeś wcześniej. Wypełnij oba, a Google Authenticator będzie działał.
Logowanie
Skonfigurowałeś Google Authenticator w systemie Linux, asa także urządzenie mobilne i wszystko działa razem tak, jak powinno. Aby się zalogować, wybierz użytkownika w GDM (lub LightDM itp.). Natychmiast po wybraniu użytkownika system operacyjny poprosi o kod uwierzytelniający. Otwórz urządzenie mobilne, przejdź do Google Authenticator i wprowadź kod wyświetlany w menedżerze logowania.
Jeśli kod się powiedzie, będziesz mógł wprowadzić hasło użytkownika.
Uwaga: skonfigurowanie Google Authenticator w systemie Linux nie wpływa tylko na menedżera logowania. Zamiast tego za każdym razem, gdy użytkownik próbuje uzyskać dostęp do konta root, uzyskać dostęp do uprawnień sudo lub zrobić coś, co wymaga hasła, wymagany jest kod uwierzytelniający.
Wniosek
Bezpośrednie uwierzytelnianie dwuskładnikowepodłączony do pulpitu systemu Linux dodaje dodatkową warstwę bezpieczeństwa, która powinna tam być domyślnie. Po włączeniu tej opcji znacznie trudniej jest uzyskać dostęp do czyjegoś systemu.
Dwa czynniki mogą być czasem niepewne (np. Jeśli jesteś zbyt wolny dla uwierzytelniacza), ale w sumie jest to mile widziane uzupełnienie każdego menedżera pulpitu Linux.
Komentarze