Linux เป็นที่รู้จักกันดีว่าต้องการรหัสผ่านในการทำอะไรก็ได้ในระบบหลัก เป็นเพราะเหตุนี้หลายคนคิดว่า Linux มีความปลอดภัยมากกว่าระบบปฏิบัติการส่วนใหญ่เล็กน้อย (แม้ว่าจะไม่สมบูรณ์แบบด้วยวิธีการใด ๆ ก็ตาม) การใช้รหัสผ่านที่คาดเดายากและนโยบาย sudoer ที่ดีนั้นยอดเยี่ยม แต่ก็ไม่ได้ป้องกันคนโง่และบางครั้งก็ไม่เพียงพอที่จะปกป้องคุณ นั่นเป็นเหตุผลว่าทำไมหลายคนในด้านความปลอดภัยจึงใช้การรับรองความถูกต้องด้วยสองปัจจัยบน Linux
ในบทความนี้เราจะกล่าวถึงวิธีการเปิดใช้งานการรับรองความถูกต้องสองปัจจัยบน Linux โดยใช้ Google Authenticator
การติดตั้ง
การใช้ Google Authenticator นั้นเป็นไปได้ด้วยปลั๊กอิน pam ใช้ปลั๊กอินนี้กับ GDM (และผู้จัดการเดสก์ท็อปอื่น ๆ ที่สนับสนุน) นี่คือวิธีการติดตั้งบนพีซี Linux ของคุณ
หมายเหตุ: ก่อนตั้งค่าปลั๊กอินนี้บนพีซี Linux ของคุณโปรดไปที่ Google Play Store (หรือ) Apple App Store และดาวน์โหลด Google Authenticator เนื่องจากเป็นส่วนสำคัญของบทช่วยสอนนี้
อูบุนตู
sudo apt install libpam-google-authenticator
Debian
sudo apt-get install libpam-google-authenticator
Arch Linux
Arch Linux ไม่รองรับแพมของ Googleโมดูลการตรวจสอบโดยค่าเริ่มต้น ผู้ใช้จะต้องคว้าและคอมไพล์โมดูลผ่านแพ็คเกจ AUR แทน ดาวน์โหลด PKGBUILD เวอร์ชันล่าสุดหรือชี้ผู้ช่วย AUR ตัวโปรดของคุณเพื่อให้มันใช้งานได้
Fedora
sudo dnf install google-authenticator
OpenSUSE
sudo zypper install google-authenticator-libpam
ลินุกซ์อื่น ๆ
ซอร์สโค้ดสำหรับ Google เวอร์ชัน LinuxAuthenticator รวมถึงปลั๊กอิน libpam ที่ใช้ในคู่มือนี้มีอยู่ใน Github หากคุณใช้การกระจาย Linux ที่ไม่ใช่แบบดั้งเดิมให้ไปที่นี่แล้วทำตามคำแนะนำในหน้านั้น คำแนะนำสามารถช่วยคุณรวบรวมจากแหล่งที่มา
ตั้งค่า Google Authenticator บน Linux
ไฟล์การกำหนดค่าจำเป็นต้องแก้ไขก่อนที่แพมจะทำงานกับปลั๊กอินการตรวจสอบสิทธิ์ของ Google หากต้องการแก้ไขไฟล์การกำหนดค่านี้ให้เปิดหน้าต่างเทอร์มินัล ภายในเทอร์มินัลให้เรียกใช้:
sudo nano /etc/pam.d/common-auth
ภายในไฟล์ที่มีการตรวจสอบสิทธิ์ทั่วไปมีอะไรมากมายให้ทำดูที่. ความคิดเห็นและหมายเหตุเกี่ยวกับวิธีที่ระบบควรใช้การตั้งค่าการรับรองความถูกต้องระหว่างบริการบน Linux ไม่ต้องสนใจสิ่งนี้ทั้งหมดในไฟล์และเลื่อนลงมาที่ "# here คือโมดูลต่อแพ็คเกจ (บล็อก" หลัก ") เลื่อนเคอร์เซอร์ไปด้านล่างด้วยปุ่มลูกศรลงและกด Enter เพื่อสร้างบรรทัดใหม่ จากนั้นเขียนสิ่งนี้:
auth required pam_google_authenticator.so
หลังจากเขียนบรรทัดใหม่นี้ให้กด CTRL + O เพื่อบันทึกการแก้ไข จากนั้นกด CTRL + X เพื่อออกจากนาโน
ถัดไปกลับไปที่เทอร์มินัลแล้วพิมพ์“ google-authenticator” จากนั้นคุณจะถูกขอให้ตอบคำถาม
คำถามแรกที่ Google Authenticator ถามคือ“ คุณต้องการให้โทเค็นการรับรองความถูกต้องเป็นไปตามเวลา” หรือไม่ ตอบ“ ใช่” โดยกด y บนคีย์บอร์ด
หลังจากตอบคำถามนี้เครื่องมือจะพิมพ์รหัสลับใหม่พร้อมกับรหัสฉุกเฉินบางอย่าง เขียนรหัสเหล่านี้ตามความสำคัญ
ดำเนินการต่อและตอบคำถามสามข้อถัดไปว่า“ ใช่” ตามด้วย“ ไม่” และ“ ไม่”
การรับรองความถูกต้องคำถามสุดท้ายถามจะต้องทำด้วยการ จำกัด อัตรา การตั้งค่านี้เมื่อเปิดใช้งานจะทำให้ Google Authenticator อนุญาตเพียง 3 ครั้งพยายาม / ล้มเหลวทุก 30 วินาที เพื่อเหตุผลด้านความปลอดภัยเราขอแนะนำให้คุณตอบตกลงในเรื่องนี้ แต่ก็ไม่เป็นไรที่จะตอบไม่ได้หากการ จำกัด อัตราไม่ได้เป็นสิ่งที่คุณสนใจ
กำหนดค่า Google Authenticator
ด้าน Linux ของสิ่งต่าง ๆ กำลังทำงาน ตอนนี้ได้เวลากำหนดค่าแอป Google Authenticator เพื่อให้สามารถทำงานกับการตั้งค่าใหม่ได้ ในการเริ่มต้นให้เปิดแอปแล้วเลือกตัวเลือก“ ป้อนรหัสที่ให้มา” สิ่งนี้จะแสดงพื้นที่ "ป้อนรายละเอียดบัญชี"
ในบริเวณนี้มีสองสิ่งที่ต้องกรอก: ชื่อของพีซีที่คุณใช้ตัวรับรองความถูกต้องพร้อมกับรหัสลับที่คุณจดไว้ก่อนหน้านี้ กรอกข้อมูลทั้งสองอย่างนี้แล้ว Google Authenticator จะสามารถใช้งานได้
เข้าสู่ระบบ
คุณได้ตั้งค่า Google Authenticator บน Linux แล้วเช่นเช่นเดียวกับอุปกรณ์มือถือของคุณและทุกอย่างทำงานร่วมกันตามที่ควร เพื่อเข้าสู่ระบบเลือกผู้ใช้ใน GDM (หรือ LightDM ฯลฯ ) ทันทีหลังจากเลือกผู้ใช้ระบบปฏิบัติการของคุณจะขอรหัสยืนยันตัวตน เปิดอุปกรณ์มือถือของคุณไปที่ Google Authenticator และป้อนรหัสที่ปรากฏในตัวจัดการการเข้าสู่ระบบ
หากรหัสสำเร็จคุณจะสามารถป้อนรหัสผ่านของผู้ใช้ได้
บันทึก: การตั้งค่า Google Authenticator บน Linux จะไม่ส่งผลต่อตัวจัดการการเข้าสู่ระบบเท่านั้น ทุกครั้งที่ผู้ใช้พยายามเข้าถึงรูทใช้สิทธิ์ sudo หรือทำทุกอย่างที่ต้องใช้รหัสผ่านต้องใช้รหัสรับรองความถูกต้อง
ข้อสรุป
มีการตรวจสอบสองปัจจัยโดยตรงเชื่อมต่อกับเดสก์ท็อป Linux เพิ่มระดับความปลอดภัยที่ควรมีตามค่าเริ่มต้น เมื่อเปิดใช้งานสิ่งนี้จะเป็นการยากยิ่งที่จะเข้าถึงระบบของใครบางคน
ปัจจัยสองประการสามารถเกิดขึ้นได้ในบางครั้ง (เช่นถ้าคุณช้าเกินไปสำหรับผู้ตรวจสอบสิทธิ์) แต่ทั้งหมดนี้เป็นส่วนเพิ่มเติมที่ยินดีต้อนรับสู่ตัวจัดการเดสก์ท็อป Linux ตัวใดตัวหนึ่ง
ความคิดเห็น