Kako se prijaviti na vaš Linux Desktop z Google Authenticator
Za dodatno varnost lahko zahtevate časovni žeton za preverjanje pristnosti in geslo za prijavo v računalnik z Linuxom. Ta rešitev uporablja Google Authenticator in druge aplikacije TOTP.
Ta proces je bil izveden na Ubuntu 14.04 s standardnim namizjem Unity in upravljalnikom prijav LightDM, vendar so načela enaka na večini distribucij in namiznih računalnikov Linux..
Pred tem smo vam pokazali, kako zahtevati Google Authenticator za oddaljeni dostop prek SSH, in ta postopek je podoben. Za to ni potrebna aplikacija Google Authenticator, temveč deluje s katero koli združljivo aplikacijo, ki izvaja shemo overjanja TOTP, vključno z Authy.
Namestite PAM za Google Authenticator
Kot pri nastavitvi za dostop SSH, bomo najprej morali namestiti ustrezno programsko opremo PAM ("pluggable-avtentifikacijski modul"). PAM je sistem, ki nam omogoča, da vključimo različne vrste metod overjanja v sistem Linux in jih zahtevamo.
Na Ubuntuju bo naslednji ukaz namestil PAM za Google Authenticator. Odprite okno Terminal, vnesite naslednji ukaz, pritisnite Enter in vnesite svoje geslo. Sistem bo prenesel PAM iz shramb programske opreme za distribucijo Linuxa in ga namestil:
sudo apt-get install libpam-google-authenticator
Upamo, da bodo imeli tudi drugi distribuciji Linuxa ta paket na voljo za enostavno namestitev - odprite repozitorije programske opreme za Linux in izvedite iskanje. V najslabšem primeru lahko izvorno kodo modula PAM najdete na GitHubu in jo sami sestavite.
Kot smo že omenili, ta rešitev ni odvisna od »telefoniranja doma« do Googlovih strežnikov. Izvaja standardni TOTP algoritem in ga lahko uporabite tudi, ko vaš računalnik nima dostopa do interneta.
Ustvarite ključe za preverjanje pristnosti
Zdaj boste morali ustvariti tajni ključ za preverjanje pristnosti in ga vnesti v aplikacijo Google Authenticator (ali podobno) v telefonu. Najprej se prijavite kot vaš uporabniški račun v sistemu Linux. Odprite okno terminala in zaženite google-authenticator ukaz. Vrsta y in sledite navodilom tukaj. S tem boste ustvarili posebno datoteko v imeniku trenutnega uporabniškega računa z informacijami Google Authenticatorja.
Preskočili vas bomo tudi skozi postopek pridobivanja te dvofaktorske potrditvene kode v Google Authenticatorju ali podobni aplikaciji TOTP v pametnem telefonu. Vaš sistem lahko ustvari kodo QR, ki jo lahko optično preberete, ali pa jo ročno vnesete.
Poskrbite, da boste zabeležili vaše kode za nujno beleženje, s katerimi se lahko prijavite, če izgubite telefon.
Preglejte ta postopek za vsak uporabniški račun, ki uporablja računalnik. Na primer, če ste edina oseba, ki uporablja vaš računalnik, jo lahko naredite samo enkrat na svojem običajnem uporabniškem računu. Če imate v računalniku nekoga drugega, ga boste želeli prijaviti v svoj račun in ustvariti ustrezno dvofaktorsko kodo za svoj račun, da se bodo lahko prijavili.
Aktivirajte preverjanje pristnosti
Tukaj so stvari postale malo dicy. Ko smo pojasnili, kako omogočiti dva faktorja za prijavo za SSH, smo ga zahtevali samo za prijave SSH. To je zagotovilo, da se lahko še vedno prijavite lokalno, če ste izgubili aplikacijo za preverjanje pristnosti ali če je kaj narobe.
Ker bomo omogočili preverjanje pristnosti z dvema faktorjema za lokalne prijave, so tu možne težave. Če gre kaj narobe, se morda ne boste mogli prijaviti. Ob upoštevanju tega vas bomo popeljali skozi to možnost samo za grafične prijave. To vam omogoča izhod v sili, če ga potrebujete.
Omogoči Google Authenticator za grafične prijave v Ubuntu
Vedno lahko omogočite preverjanje pristnosti v dveh korakih samo za grafične prijave, preskočite zahtevo, ko se prijavite iz besedilnega poziva. To pomeni, da lahko preprosto preklopite na navidezni terminal, se prijavite in povrnete spremembe, da Gogole Authenciator ne bo potreben, če naletite na težavo.
Seveda, to odpira luknjo v vašem sistemu za preverjanje pristnosti, toda napadalec s fizičnim dostopom do vašega sistema ga lahko že izkoristi. Zato je avtentikacija z dvema faktorjema še posebej učinkovita za oddaljene prijave prek SSH.
To naredite za Ubuntu, ki uporablja upravljalnik prijav LightDM. Odprite datoteko LightDM za urejanje z ukazom, kot je naslednji:
sudo gedit /etc/pam.d/lightdm
(Ne pozabite, da bodo ti posebni koraki uspešni le, če vaša distribucija Linuxa in namizje uporabljata upravljalnik prijav LightDM.)
Dodajte naslednjo vrstico na konec datoteke in jo shranite:
auth je potrebno pam_google_authenticator.so nullok
Bit "nullok" na koncu pove sistemu, naj omogoči uporabniku, da se prijavi, tudi če niso zagnali ukaza google-authenticator za nastavitev dvofaktorske overitve. Če so ga nastavili, bodo morali vnesti kodo za časovno omejitev - drugače ne bodo. Odstranite »nullok« in uporabniške račune, ki niso nastavili kode Google Authenticatorja, zato se ne bodo mogli logično prijaviti.
Naslednjič, ko se uporabnik prijavi grafično, bodo pozvani k geslu in bodo pozvani k trenutni potrditveni kodi, ki bo prikazana v telefonu. Če kode za preverjanje ne vnesejo, se ne bodo mogli prijaviti.
Postopek mora biti precej podoben za druge distribucije Linuxa in namizne računalnike, saj najpogostejši upravitelji sej za namizja Linux uporabljajo PAM. Verjetno boste morali urediti drugo datoteko z nekaj podobnim, da aktivirate ustrezen modul PAM.
Če uporabljate šifriranje domačega imenika
Starejše izdaje Ubuntuja so ponudile enostavno možnost šifriranja mape doma, ki je šifrirala celoten domači imenik, dokler ne vnesete gesla. Natančneje, to uporablja ecryptfs. Ker pa je programska oprema PAM odvisna od datoteke Google Authenticator, ki je privzeto shranjena v vašem domačem imeniku, šifriranje moti branje datoteke PAM, razen če zagotovite, da je sistem pred objavo v šifrirani obliki. informacije o izogibanju tej težavi, če še vedno uporabljate opuščene možnosti šifriranja domačega imenika.
Sodobne različice Ubuntuja namesto tega ponujajo celotno diskovno šifriranje, ki bo dobro delovalo z zgornjimi možnostmi. Ni vam treba narediti nič posebnega
Pomoč, razbila se je!
Ker smo to omogočili samo za grafične prijave, bi moralo biti lahko onemogočeno, če povzroči težavo. Pritisnite kombinacijo tipk, kot sta Ctrl + Alt + F2, da dostopite do navideznega terminala in se prijavite s svojim uporabniškim imenom in geslom. Nato lahko uporabite ukaz, kot je sudo nano /etc/pam.d/lightdm, da odprete datoteko za urejanje v urejevalniku besedila terminala. Uporabite naš vodnik za Nano, da odstranite vrstico in shranite datoteko, tako da se boste lahko normalno ponovno prijavili.
Lahko pa tudi prisilite Google Authenticator, da je potreben za druge vrste prijav - potencialno celo sistemske prijave - z dodajanjem vrstice »auth required pam_google_authenticator.so« v druge konfiguracijske datoteke PAM. Bodite previdni, če to storite. In ne pozabite, morda boste želeli dodati »nullok«, da se bodo uporabniki, ki še niso prestali postopka namestitve, lahko še vedno prijavili.
Nadaljnjo dokumentacijo o uporabi in nastavitvi tega modula PAM lahko najdete v datoteki README programske opreme na GitHubu.