Для дополнительной безопасности вам может потребоваться токен аутентификации на основе времени а также пароль для входа в ваш компьютер с Linux. Это решение использует Google Authenticator и другие приложения TOTP.
Этот процесс выполнялся в Ubuntu 14.04 со стандартным Рабочий стол Unity и диспетчер входа в систему LightDM, но принципы одинаковы для большинства дистрибутивов Linux и настольных компьютеров.
Ранее мы показали вам как потребовать Google Authenticator для удаленного доступа через SSH , и этот процесс аналогичен. Для этого не требуется приложение Google Authenticator, но работает с любым совместимым приложением, реализующим схему аутентификации TOTP, включая Authy .
Установите PAM Google Authenticator
СВЯЗАННЫЕ С: Как защитить SSH с помощью двухфакторной аутентификации Google Authenticator
Как и при настройке доступа по SSH, нам сначала нужно установить соответствующее программное обеспечение PAM («подключаемый модуль аутентификации»). PAM - это система, которая позволяет нам подключать различные типы методов аутентификации к системе Linux и требовать их.
В Ubuntu следующая команда установит Google Authenticator PAM. Откройте окно терминала, введите следующую команду, нажмите Enter и введите свой пароль. Система загрузит PAM из репозиториев программного обеспечения вашего дистрибутива Linux и установит его:
sudo apt-get установить libpam-google-authentication
Мы надеемся, что в других дистрибутивах Linux этот пакет тоже должен быть доступен для легкой установки - откройте репозитории программного обеспечения вашего дистрибутива Linux и выполните его поиск. В худшем случае вы можете найти исходный код модуля PAM на GitHub и скомпилируйте сами.
Как мы указывали ранее, это решение не зависит от «звонка домой» на серверы Google. Он реализует стандартный алгоритм TOTP и может использоваться, даже если у вашего компьютера нет доступа в Интернет.
Создайте свои ключи аутентификации
Теперь вам нужно создать секретный ключ аутентификации и ввести его в приложение Google Authenticator (или подобное) на вашем телефоне. Сначала войдите в систему как свою учетную запись пользователя в системе Linux. Откройте окно терминала и запустите гугл-аутентификатор команда. Тип Y и следуйте подсказкам здесь. Это создаст специальный файл в каталоге текущего аккаунта пользователя с информацией Google Authenticator.
Вы также пройдете через процесс ввода этого кода двухфакторной проверки в Google Authenticator или подобное приложение TOTP на вашем смартфоне. Ваша система может генерировать QR-код, который вы можете сканировать, или вы можете ввести его вручную.
Обязательно запишите свои аварийные скретч-коды, которые вы можете использовать для входа в систему, если потеряете телефон.
Выполните этот процесс для каждой учетной записи пользователя, которая использует ваш компьютер. Например, если вы единственный человек, который использует ваш компьютер, вы можете сделать это один раз в своей обычной учетной записи. Если у вас есть кто-то еще, кто пользуется вашим компьютером, вы захотите, чтобы он вошел в свою учетную запись и сгенерировал соответствующий двухфакторный код для своей учетной записи, чтобы он мог войти в систему.
Активировать аутентификацию
Здесь все становится немного пикантным. Когда мы объяснили, как включить двухфакторный вход для SSH-входа, нам это потребовалось только для SSH-входа. Это гарантировало, что вы по-прежнему можете входить в систему локально, если вы потеряли приложение для аутентификации или что-то пошло не так.
Поскольку мы включим двухфакторную аутентификацию для локального входа в систему, здесь есть потенциальные проблемы. Если что-то пойдет не так, возможно, вы не сможете войти в систему. Помня об этом, мы расскажем, как включить эту функцию только для графического входа. Это дает вам аварийный выход, если он вам нужен.
Включение Google Authenticator для графического входа в систему в Ubuntu
Вы всегда можете включить двухэтапную аутентификацию только для графического входа в систему, пропуская требование при входе в систему из текстовой подсказки. Это означает, что вы можете легко переключиться на виртуальный терминал, войти в систему и отменить свои изменения, поэтому Gogole Authenciator не потребуется, если у вас возникнут проблемы.
Конечно, это открывает дыру в вашей системе аутентификации, но злоумышленник, имеющий физический доступ к вашей системе, уже может использовать ее в любом случае . Вот почему двухфакторная аутентификация особенно эффективна для удаленного входа через SSH.
Вот как это сделать для Ubuntu, в которой используется менеджер входа LightDM. Откройте файл LightDM для редактирования с помощью следующей команды:
sudo gedit /etc/pam.d/lightdm
(Помните, что эти конкретные шаги будут работать, только если ваш дистрибутив Linux и рабочий стол используют диспетчер входа LightDM.)
Добавьте следующую строку в конец файла и затем сохраните ее:
требуется авторизация pam_google_authenticator.so nullok
Бит «nullok» в конце указывает системе разрешить пользователю войти в систему, даже если он не выполнил команду google-Authenticator для настройки двухфакторной аутентификации. Если они настроили его, им нужно будет ввести код с ограничением по времени, иначе они этого не сделают. Удалите «nullok», и учетные записи пользователей, которые не настроили код Google Authenticator, просто не смогут войти в систему графически.
В следующий раз, когда пользователь войдет в систему графически, ему будет предложено ввести пароль, а затем будет предложено ввести текущий проверочный код, отображаемый на его телефоне. Если они не введут код подтверждения, они не смогут войти в систему.
Процесс должен быть довольно похожим для других дистрибутивов Linux и настольных компьютеров, поскольку большинство обычных менеджеров сеансов рабочего стола Linux используют PAM. Скорее всего, вам просто нужно будет отредактировать другой файл с чем-то похожим, чтобы активировать соответствующий модуль PAM.
Если вы используете шифрование домашнего каталога
Более старые выпуски Ubuntu предлагали простой Опция «шифрование домашней папки» который зашифровал весь ваш домашний каталог, пока вы не введете свой пароль. В частности, здесь используется ecryptfs. Однако, поскольку программное обеспечение PAM зависит от файла Google Authenticator, который по умолчанию хранится в вашем домашнем каталоге, шифрование мешает PAM читать файл, если вы не убедитесь, что он доступен в системе в незашифрованном виде до входа в систему. README для получения дополнительной информации о том, как избежать этой проблемы, если вы все еще используете устаревшие параметры шифрования домашнего каталога.
Современные версии Ubuntu предлагают шифрование всего диска вместо этого, что будет нормально работать с указанными выше параметрами. Вам не нужно делать ничего особенного
Помогите, сломалось!
Поскольку мы только что включили это для графического входа в систему, его будет легко отключить, если это вызовет проблему. Нажмите комбинацию клавиш, например Ctrl + Alt + F2, чтобы получить доступ к виртуальному терминалу. и войдите туда со своим именем пользователя и паролем. Затем вы можете использовать команду типа sudo nano /etc/pam.d/lightdm, чтобы открыть файл для редактирования в текстовом редакторе терминала. Использовать наш путеводитель по нано чтобы удалить строку и сохранить файл, и вы снова сможете войти в систему в обычном режиме.
Вы также можете заставить Google Authenticator быть обязательным для других типов входов - потенциально даже для всех входов в систему - добавив строку «auth required pam_google_authenticator.so» в другие файлы конфигурации PAM. Будьте осторожны, если сделаете это. И помните, что вы можете добавить «nullok», чтобы пользователи, не прошедшие процесс настройки, могли войти в систему.
Дополнительную документацию по использованию и настройке этого модуля PAM можно найти в файл README программного обеспечения на GitHub .
