Hogyan jelentkezzen be a Linux asztali számítógépére a Google hitelesítővel
A további biztonság érdekében időalapú hitelesítési tokenre és jelszóra van szükség a Linux számítógépre való belépéshez. Ez a megoldás a Google hitelesítőt és más TOTP alkalmazásokat használja.
Ezt a folyamatot az Ubuntu 14.04-en végezték el a szabványos Unity asztali és LightDM bejelentkezési kezelővel, de az elvek ugyanazok a legtöbb Linux disztribúción és asztali számítógépen.
Korábban megmutattuk, hogy hogyan kell a Google Hitelesítőt az SSH-n keresztüli távoli hozzáféréshez kérni, és ez a folyamat hasonló. Ehhez nem szükséges a Google Hitelesítő alkalmazás, de bármely olyan kompatibilis alkalmazással együtt működik, amely megvalósítja a TOTP hitelesítési rendszert, beleértve az Authy-t.
Telepítse a Google Hitelesítő PAM-t
Mint az SSH-hozzáférés beállításakor, először a megfelelő PAM („pluggable-authentication module”) szoftvert kell telepítenie. A PAM olyan rendszer, amely lehetővé teszi, hogy különböző típusú hitelesítési módszereket csatlakoztassunk egy Linux rendszerhez, és szükségük van rá.
Az Ubuntu-on a következő parancs telepíti a Google Hitelesítő PAM-ot. Nyisson meg egy terminálablakot, írja be a következő parancsot, nyomja meg az Entert, és adja meg a jelszót. A rendszer letölti a PAM-ot a Linux disztribúció szoftvertárából és telepíti:
sudo apt-get install libpam-google-authentator
A többi Linux-disztribúciónak remélhetőleg ez a csomag is elérhetővé válik az egyszerű telepítéshez is - nyissa meg a Linux disztribúció szoftver tárolóit, és keressen rá. A legrosszabb esetben a GitHub-on található PAM-modul forráskódja megtalálható és saját maga fordítja le.
Amint korábban rámutattunk, ez a megoldás nem függ a „telefonálásról” a Google szervereivel. Végrehajtja a szabványos TOTP algoritmust, és akkor is használható, ha a számítógép nem rendelkezik internet-hozzáféréssel.
Hozzon létre hitelesítési kulcsokat
Most létre kell hoznia egy titkos hitelesítési kulcsot, és be kell írnia a Google Hitelesítő alkalmazás (vagy hasonló) alkalmazásába a telefonján. Először jelentkezzen be felhasználói fiókként a Linux rendszeren. Nyisson meg egy terminálablakot, és futtassa a google-hitelesítő parancs. típus y és kövesse az utasításokat. Ez egy speciális fájlt hoz létre az aktuális felhasználói fiók könyvtárában a Google hitelesítő adataival.
A két tényezőből álló hitelesítési kód Google-hitelesítőbe vagy hasonló okostelefonon lévő TOTP-alkalmazásba történő eljuttatásának folyamatát is meg fogja vizsgálni. A rendszer képes egy olyan QR-kódot létrehozni, amelyet beolvashat, vagy kézzel is beírhatja.
Ügyeljen arra, hogy jegyezze fel a vészhelyzeti karcolódási kódjait, amelyek segítségével bejelentkezhet, ha elveszíti a telefont.
Menjen végig ezen a folyamaton a számítógépet használó minden felhasználói fiókhoz. Például, ha Ön az egyetlen személy, aki használja a számítógépet, akkor ezt egyszer csak a szokásos felhasználói fiókjában teheti meg. Ha van valaki más, aki használja a számítógépet, akkor azt szeretné, hogy saját fiókjába jelentkezzen be, és saját számlájára hozzon létre megfelelő, két tényezőjű kódot, hogy bejelentkezhessenek.
A hitelesítés aktiválása
Itt van, ahol a dolgok kicsit dicyek lesznek. Amikor elmagyaráztuk, hogyan engedélyezhetjük az SSH bejelentkezésekhez két tényezőt, csak SSH bejelentkezéseknél volt szükségünk. Ez biztosította, hogy továbbra is bejelentkezhessen helyben, ha elvesztette a hitelesítési alkalmazást, vagy ha valami rosszul történt.
Mivel a helyi bejelentkezésekhez kétfaktoros hitelesítést teszünk lehetővé, itt vannak potenciális problémák. Ha valami rosszul fordul elő, előfordulhat, hogy nem tud bejelentkezni. Ezt szem előtt tartva, csak grafikus bejelentkezéseknél fogjuk megtenni ezt. Ez szükségessé teszi a menekülési nyílást.
Engedélyezze a Google hitelesítőt a grafikus bejelentkezéshez az Ubuntu-on
Mindig engedélyezheti a kétlépcsős hitelesítést csak a grafikus bejelentkezéseknél, és hagyja ki a követelményt, amikor bejelentkezik a szövegsorból. Ez azt jelenti, hogy könnyedén átkapcsolhat egy virtuális terminálra, jelentkezhet be, és visszaállíthatja a változtatásokat, így a Gogole Authenciator nem lenne szükséges, ha problémát tapasztal..
Persze, ez megnyit egy lyukat a hitelesítési rendszerben, de a fizikai hozzáféréssel rendelkező támadó már használhatja azt. Ezért a kétfaktoros hitelesítés különösen hatékony az SSH-n keresztüli távoli bejelentkezéseknél.
Így tehetjük ezt az Ubuntu, amely a LightDM bejelentkezési menedzserét használja. Nyissa meg a LightDM fájlt a szerkesztéshez a következő parancsokkal:
sudo gedit /etc/pam.d/lightdm
(Ne feledje, hogy ezek a konkrét lépések csak akkor fognak működni, ha a Linux disztribúciója és asztala használja a LightDM bejelentkezési menedzserét.)
Adja hozzá a következő sort a fájl végéhez, majd mentse el:
auth szükséges pam_google_authenticator.so nullok
A „nullok” bit a végén azt mondja a rendszernek, hogy hagyja be a felhasználót, még akkor is, ha nem futtatja a google-authentator parancsot a kétfaktoros hitelesítés beállításához. Ha felállítják, akkor be kell írniuk egy időkódot - különben nem. Távolítsa el a „nullok” -t, és a felhasználói fiókok, akik nem állítottak be Google hitelesítő kódot, egyszerűen nem tudnak grafikusan bejelentkezni.
A következő alkalommal, amikor egy felhasználó grafikusan jelentkezik be, a rendszer megkéri a jelszót, majd a telefonon megjelenő aktuális ellenőrző kódot kéri. Ha nem írják be a hitelesítési kódot, nem fognak bejelentkezni.
A folyamatnak hasonlónak kell lennie más Linux disztribúciók és asztali számítógépek esetében, mivel a leggyakoribb Linux asztali munkamenet-kezelők PAM-ot használnak. Valószínűleg csak egy másik fájlt kell szerkesztenie valami hasonlóval, hogy aktiválja a megfelelő PAM modult.
Ha a Home Directory titkosítást használja
Az Ubuntu régebbi kiadásai egy egyszerű „home folder encryption” opciót kínáltak, amely titkosította a teljes otthoni könyvtárat, amíg meg nem adja a jelszavát. Pontosabban, ez az ecryptfs-t használja. Mivel azonban a PAM szoftver alapértelmezés szerint az otthoni könyvtárban tárolt Google Hitelesítő fájltól függ, a titkosítás zavarja a PAM olvasását, kivéve, ha biztosan nem titkosított formában érhető el a rendszerhez, mielőtt bejelentkezne. információ a probléma elkerüléséről, ha még mindig használod az elavult otthoni könyvtár titkosítási beállításait.
Az Ubuntu modern verziói teljes körű titkosítást kínálnak, ami jól működik a fenti opciókkal. Nem kell semmit különlegeset csinálnod
Segítség, megtört!
Mivel ezt csak grafikus bejelentkezéshez engedélyeztük, könnyen le kell tiltani, ha problémát okoz. A virtuális terminál eléréséhez nyomja meg a Ctrl + Alt + F2 billentyűkombinációt, és jelentkezzen be a felhasználónevével és jelszavával. Ezután olyan parancsot használhat, mint a sudo nano /etc/pam.d/lightdm, hogy megnyissa a fájlt szerkesztésre a terminál szövegszerkesztőjében. Használja a Nano útmutatót a sor eltávolításához és a fájl mentéséhez, és újra be tud jelentkezni.
Azt is kényszerítheti a Google Hitelesítőt, hogy más típusú bejelentkezésekre - esetleg minden rendszer-bejelentkezésre is - kötelezővé tegye a „auth kötelező pam_google_authenticator.so” sor hozzáadását más PAM konfigurációs fájlokhoz. Legyen óvatos, ha ezt megteszi. Ne feledje, hogy „nullok” -ot szeretne hozzáadni, így azok a felhasználók, akik nem mentek át a telepítési folyamaton, még bejelentkezhetnek.
A PAM modul használatával és beállításával kapcsolatos további dokumentáció megtalálható a szoftver README fájljában a GitHub-on.