Как да активирате двуфакторна автентификация на Linux, за да влезете

Linux е известен с това, че изисква парола, за да направи каквото и да било на основната система. Поради това мнозина считат Linux за малко по-сигурен от повечето операционни системи (макар и не перфектен по никакъв начин). Имате силна парола и добра политика на sudoer е чудесно, но не е глупаво и понякога не е достатъчно, за да ви защити. Ето защо мнозина в областта на сигурността са използвали двуфакторна автентификация в Linux

В тази статия ще разгледаме как да активираме двуфакторна автентификация в Linux с помощта на Google Authenticator.

Инсталация

Използването на Google Удостоверител е възможно, благодарение на a Пам плъгин. Използвайте този плъгин с GDM (и други мениджъри на настолни компютри, които го поддържат). Ето как да го инсталирате на вашия Linux компютър.

Забележка: Преди да настроите този плъгин на вашия Linux компютър, моля, отидете на Google Play Store (или) Apple App Store и изтеглете Google Удостоверител, тъй като това е ключова част от този урок.

Ubuntu

sudo apt инсталирате libpam-google-authentication

Debian

sudo apt - инсталирайте libpam-google-authentication

Arch Linux

Arch Linux не поддържа модула за автентификация pam Google по подразбиране. Вместо това потребителите ще трябва да вземат и компилират модула чрез AUR пакет. Изтеглете най-новата версия на PKGBUILD или насочете любимия си помощник AUR към него, за да работи.

Fedora

sudo dnf инсталирайте google-authentication

OpenSUSE

sudo zypper инсталирайте google-authentator-libpam

Други Linux

Изходният код за Linux версията на Google Authenticator, както и плъгинът libpam, използван в това ръководство, са лесно достъпни в Github. Ако използвате нетрадиционна дистрибуция на Linux, главата тук и следвайте инструкциите на страницата. Инструкциите могат да ви помогнат да го съставите от източника.

Настройте Google Удостоверител на Linux

Конфигурационният файл се нуждае от редактиране, преди pam да работи с приставката за удостоверяване на Google. За да промените този конфигурационен файл, отворете прозорец на терминала. Вътре в терминала изпълнете:

sudo nano /etc/pam.d/common-auth

В рамките на файла с общ автор, има какво да се разгледа. Много коментари и бележки за това как системата трябва да използва настройките за удостоверяване между услугите в Linux. Игнорирайте всичко това във файла и превъртете докрай до „# тук са модулите за пакет (блокът„ Основен “)“. Преместете курсора под него с клавиша със стрелка надолу и натиснете Enter, за да направите нов ред. След това напишете това:

изисква се auth pam_google_authenticator.so

След като напишете този нов ред, натиснете CTRL + O за да запазите редакцията. След това натиснете CTRL + X за да излезете от Нано.

След това се върнете към терминала и напишете „google-authentication“. След това ще бъдете помолени да отговорите на някои въпроси.

Първият въпрос, който Google Удостоверител задава, е „Искате ли жетоните за удостоверяване да се базират на време“. Отговорете с „да“, като натиснете y на клавиатурата.

След като отговори на този въпрос, инструментът ще разпечата нов секретен ключ, заедно с някои кодове за спешни случаи. Запишете тези кодове, тъй като е важно.

Продължете и отговорете на следващите три въпроса като „да“, последвани от „не“ и „не“.

Последният въпрос, който задава удостоверителят, е свързан с ограничаване на скоростта. Тази настройка, когато е активирана, го прави така, че Google Удостоверител ще позволи само 3 опита за неуспех на всеки 30 секунди. От съображения за сигурност препоръчваме да отговорите „да“ на това, но е напълно добре да отговорите „не“, ако ограничаването на скоростта не е нещо, което ви интересува.

Конфигуриране на Google Удостоверител

Linux страницата на нещата работи. Сега е време да конфигурирате приложението Google Удостоверител, така че да работи с новата настройка. За да започнете, отворете приложението и изберете опцията „въведете предоставен ключ“. Тук се появява област „въведете данни за акаунта“.

В тази област трябва да попълните две неща: името на компютъра, с който използвате автентификатора, както и секретния ключ, който сте записали по-рано. Попълнете и двете, и Google Удостоверител ще започне да работи.

Вход

Вие сте настроили Google Authenticator на Linux, както и на мобилното си устройство и всичко работи заедно, както трябва. За да влезете, изберете потребителя в GDM (или LightDM и т.н.). Веднага след като изберете потребителя, вашата операционна система ще поиска код за удостоверяване. Отворете мобилното си устройство, отидете на Google Удостоверител и въведете кода, който се показва в мениджъра за вход.

Ако кодът е успешен, ще можете да въведете парола на потребителя.

Забележка: настройването на Google Удостоверител на Linux не влияе само на мениджъра за вход. Вместо това всеки път, когато потребителят се опита да получи root достъп, достъп до привилегии sudo или да направи нещо, което изисква парола, се изисква код за удостоверяване.

заключение

Наличието на две факторни удостоверяване, директно свързани с работния плот на Linux, добавя допълнителен слой сигурност, който трябва да бъде там по подразбиране. С това активирано е много по-трудно да получите достъп до нечия система.

Два фактора могат да бъдат иновативни понякога (например, ако сте твърде бавни за удостоверяването), но като цяло това е добре дошло към всеки Linux десктоп мениджър.