Voor extra beveiliging kunt u een op tijd gebaseerde authenticatietoken evenals een wachtwoord om in te loggen op uw Linux-pc. Deze oplossing maakt gebruik van Google Authenticator en andere TOTP-apps.
Dit proces werd uitgevoerd op Ubuntu 14.04 met de standaard Eenheid desktop en LightDM login manager, maar de principes zijn hetzelfde op de meeste Linux-distributies en desktops.
We hebben het je eerder laten zien hoe u Google Authenticator vereist voor externe toegang via SSH , en dit proces is vergelijkbaar. Hiervoor is de Google Authenticator-app niet vereist, maar werkt met elke compatibele app die het TOTP-authenticatieschema implementeert, inclusief Authy .
Installeer de Google Authenticator PAM
VERWANT: SSH beveiligen met Google Authenticator Two-Factor Authentication
Net als bij het instellen van SSH-toegang, moeten we eerst de juiste PAM-software ("pluggable-authentication module") installeren. PAM is een systeem waarmee we verschillende soorten authenticatiemethoden in een Linux-systeem kunnen pluggen en deze nodig hebben.
Op Ubuntu zal de volgende opdracht de Google Authenticator PAM installeren. Open een Terminal-venster, typ de volgende opdracht, druk op Enter en geef uw wachtwoord op. Het systeem downloadt de PAM uit de softwarebronnen van uw Linux-distributie en installeert deze:
sudo apt-get install libpam-google-authenticator
Andere Linux-distributies zouden dit pakket hopelijk ook beschikbaar moeten hebben voor eenvoudige installatie - open de softwarebronnen van je Linux-distributie en zoek ernaar. In het ergste geval kunt u vinden de broncode voor de PAM-module op GitHub en stel het zelf samen.
Zoals we eerder hebben aangegeven, is deze oplossing niet afhankelijk van 'naar huis bellen' naar de servers van Google. Het implementeert het standaard TOTP-algoritme en kan zelfs worden gebruikt als uw computer geen internettoegang heeft.
Maak uw authenticatiesleutels
U moet nu een geheime verificatiesleutel maken en deze invoeren in de Google Authenticator-app (of een vergelijkbare) app op uw telefoon. Log eerst in als uw gebruikersaccount op uw Linux-systeem. Open een terminalvenster en voer het google-authenticator opdracht. Type Y en volg de instructies hier. Hiermee wordt een speciaal bestand gemaakt in de directory van de huidige gebruikersaccount met de Google Authenticator-informatie.
U wordt ook door het proces geleid om die tweefactorauthenticatiecode in een Google Authenticator of vergelijkbare TOTP-app op uw smartphone te krijgen. Uw systeem kan een QR-code genereren die u kunt scannen, of u kunt deze handmatig invoeren.
Noteer uw noodkrascodes, waarmee u zich kunt aanmelden als u uw telefoon kwijtraakt.
Doorloop dit proces voor elk gebruikersaccount dat uw computer gebruikt. Als u bijvoorbeeld de enige persoon bent die uw computer gebruikt, kunt u dit maar één keer doen op uw normale gebruikersaccount. Als u iemand anders heeft die uw computer gebruikt, wilt u dat deze zich aanmeldt bij zijn eigen account en een geschikte tweefactorcode voor zijn eigen account genereert, zodat hij of zij zich kan aanmelden.
Activeer authenticatie
Hier wordt het een beetje saai. Toen we uitlegden hoe we twee factoren voor SSH-logins konden inschakelen, hadden we dit alleen nodig voor SSH-logins. Dit zorgde ervoor dat je nog steeds lokaal kon inloggen als je je authenticatie-app kwijt was of als er iets misging.
Aangezien we tweefactorauthenticatie inschakelen voor lokale aanmeldingen, zijn er hier potentiële problemen. Als er iets misgaat, kunt u zich wellicht niet aanmelden. Met dat in gedachten helpen we u dit alleen voor grafische logins in te schakelen. Dit geeft je een vluchtluik als je het nodig hebt.
Schakel Google Authenticator in voor grafische logins op Ubuntu
U kunt authenticatie in twee stappen altijd inschakelen voor alleen grafische aanmeldingen, waarbij u de vereiste overslaat wanneer u zich aanmeldt vanaf de tekstprompt. Dit betekent dat u gemakkelijk kunt overschakelen naar een virtuele terminal, daar kunt inloggen en uw wijzigingen ongedaan kunt maken, zodat Gogole Authenciator niet nodig is als u een probleem ondervindt.
Zeker, dit opent een gat in uw authenticatiesysteem, maar een aanvaller met fysieke toegang tot uw systeem kan er toch al misbruik van maken . Daarom is tweefactorauthenticatie bijzonder effectief voor inloggen op afstand via SSH.
Hier is hoe u dit doet voor Ubuntu, dat de LightDM-inlogmanager gebruikt. Open het LightDM-bestand om het te bewerken met een commando als het volgende:
sudo gedit /etc/pam.d/lightdm
(Onthoud dat deze specifieke stappen alleen werken als uw Linux-distributie en desktop de LightDM-inlogmanager gebruiken.)
Voeg de volgende regel toe aan het einde van het bestand en sla het vervolgens op:
auth vereist pam_google_authenticator.so nullok
Het "nullok" -bit aan het einde vertelt het systeem om een gebruiker te laten inloggen, zelfs als ze de google-authenticator-opdracht niet hebben uitgevoerd om tweefactorauthenticatie in te stellen. Als ze het hebben ingesteld, moeten ze een tijdgebaseerde code invoeren, anders niet. Verwijder de "nullok" en gebruikersaccounts die geen Google Authenticator-code hebben ingesteld, kunnen zich gewoon niet grafisch aanmelden.
De volgende keer dat een gebruiker zich grafisch aanmeldt, wordt hem om zijn wachtwoord gevraagd en vervolgens om de huidige verificatiecode die op zijn telefoon wordt weergegeven. Als ze de verificatiecode niet invoeren, mogen ze niet inloggen.
Het proces zou redelijk vergelijkbaar moeten zijn voor andere Linux-distributies en desktops, aangezien de meest voorkomende Linux-desktop-sessiemanagers PAM gebruiken. U zult waarschijnlijk gewoon een ander bestand moeten bewerken met iets soortgelijks om de juiste PAM-module te activeren.
Als u codering van de thuismap gebruikt
Oudere releases van Ubuntu boden een makkelijke Optie "thuismap-codering" die je hele homedirectory versleutelde totdat je je wachtwoord invoerde. Dit gebruikt specifiek ecryptfs. Omdat de PAM-software echter afhankelijk is van een Google Authenticator-bestand dat standaard in uw homedirectory is opgeslagen, verstoort de codering het lezen van het bestand door de PAM, tenzij u ervoor zorgt dat het in niet-gecodeerde vorm beschikbaar is voor het systeem voordat u zich aanmeldt. Raadpleeg de README voor meer informatie over het vermijden van dit probleem als u nog steeds de verouderde coderingsopties voor de homedirectory gebruikt.
Moderne versies van Ubuntu-aanbieding versleuteling op volledige schijf in plaats daarvan, wat prima werkt met de bovenstaande opties. U hoeft niets speciaals te doen
Help, het is gebroken!
Omdat we dit zojuist hebben ingeschakeld voor grafische logins, zou het gemakkelijk moeten zijn om het uit te schakelen als het een probleem veroorzaakt. Druk op een toetsencombinatie zoals Ctrl + Alt + F2 om toegang te krijgen tot een virtuele terminal en log daar in met uw gebruikersnaam en wachtwoord. U kunt dan een commando zoals sudo nano /etc/pam.d/lightdm gebruiken om het bestand te openen voor bewerking in een terminalteksteditor. Gebruik onze gids voor Nano om de regel te verwijderen en het bestand op te slaan, zodat u zich weer normaal kunt aanmelden.
Je zou ook kunnen dwingen dat Google Authenticator vereist is voor andere soorten aanmeldingen - mogelijk zelfs alle systeemaanmeldingen - door de regel "auth required pam_google_authenticator.so" toe te voegen aan andere PAM-configuratiebestanden. Wees voorzichtig als u dit doet. En vergeet niet dat u misschien "nullok" wilt toevoegen, zodat gebruikers die het installatieproces niet hebben doorlopen, nog steeds kunnen inloggen.
Verdere documentatie over het gebruik en instellen van deze PAM-module is te vinden in het README-bestand van de software op GitHub .
