Aktivieren der Zwei-Faktor-Authentifizierung unter Linux zum Anmelden

Linux ist dafür bekannt, dass es ein Passwort erfordert, um etwas mit dem Kernsystem zu tun. Aus diesem Grund halten viele Linux für etwas sicherer als die meisten Betriebssysteme (wenn auch keineswegs perfekt). Ein sicheres Passwort und eine gute Sudoer-Richtlinie sind großartig, aber nicht narrensicher, und manchmal reicht es nicht aus, um Sie zu schützen. Aus diesem Grund haben viele im Sicherheitsbereich die Zwei-Faktor-Authentifizierung unter Linux verwendet

In diesem Artikel wird erläutert, wie Sie die Zwei-Faktor-Authentifizierung unter Linux mit Google Authenticator aktivieren.

Installation

Die Verwendung von Google Authenticator ist dank a möglich pam Plugin. Verwenden Sie dieses Plugin mit GDM (und anderen Desktop-Managern, die es unterstützen). So installieren Sie es auf Ihrem Linux-PC.

Hinweis: Bevor Sie dieses Plugin auf Ihrem Linux-PC einrichten, gehen Sie bitte zu Google Play Store (oder) Apple App Store und laden Sie Google Authenticator herunter, da dies ein wichtiger Bestandteil dieses Tutorials ist.

Ubuntu

sudo apt install libpam-google-authenticator

Debian

sudo apt-get installiere libpam-google-authenticator

Arch Linux

Arch Linux unterstützt das pam Google-Authentifizierungsmodul standardmäßig nicht. Benutzer müssen stattdessen das Modul über ein AUR-Paket abrufen und kompilieren. Laden Sie die neueste Version des PKGBUILD herunter oder zeigen Sie mit Ihrem bevorzugten AUR-Helfer darauf, damit es funktioniert.

Fedora

sudo dnf installiere google-authenticator

OpenSUSE

sudo zypper installiere google-authenticator-libpam

Andere Linuxes

Der Quellcode für die Linux-Version von Google Authenticator sowie das in diesem Handbuch verwendete libpam-Plugin sind auf Github verfügbar. Wenn Sie eine nicht traditionelle Linux-Distribution verwenden, Kopf hierher und folgen Sie den Anweisungen auf der Seite. Die Anweisungen können Ihnen beim Kompilieren aus dem Quellcode helfen.

Richten Sie Google Authenticator unter Linux ein

Eine Konfigurationsdatei muss bearbeitet werden, bevor pam mit dem Google Authentication-Plugin funktioniert. Öffnen Sie zum Ändern dieser Konfigurationsdatei ein Terminalfenster. Führen Sie im Terminal Folgendes aus:

sudo nano /etc/pam.d/common-auth

In der Common-Auth-Datei gibt es viel zu sehen. Viele Kommentare und Hinweise, wie das System die Authentifizierungseinstellungen zwischen Diensten unter Linux verwenden soll. Ignorieren Sie all dies in der Datei und scrollen Sie ganz nach unten zu "# hier sind die Pakete pro Paket (der" primäre "Block)". Bewegen Sie den Cursor mit der Abwärtspfeiltaste darunter und drücken Sie die Eingabetaste, um eine neue Zeile zu erstellen. Dann schreibe folgendes:

auth erforderlich pam_google_authenticator.so

Nachdem Sie diese neue Zeile geschrieben haben, drücken Sie STRG + O. um die Bearbeitung zu speichern. Dann drücken STRG + X. um Nano zu verlassen.

Gehen Sie als Nächstes zum Terminal zurück und geben Sie "google-authentulator" ein. Sie werden dann aufgefordert, einige Fragen zu beantworten.

Die erste Frage, die Google Authenticator stellt, lautet: "Möchten Sie, dass Authentifizierungstoken zeitbasiert sind?". Antworten Sie mit „Ja“, indem Sie y auf der Tastatur drücken.

Nach Beantwortung dieser Frage druckt das Tool einen neuen geheimen Schlüssel zusammen mit einigen Notfallcodes aus. Schreiben Sie diesen Code auf, da dies wichtig ist.

Fahren Sie fort und beantworten Sie die nächsten drei Fragen mit „Ja“, gefolgt von „Nein“ und „Nein“.

Die letzte Frage, die der Authentifikator stellt, hat mit Ratenbegrenzung zu tun. Wenn diese Einstellung aktiviert ist, lässt Google Authenticator nur 3 Versuche / Fehlschläge alle 30 Sekunden zu. Aus Sicherheitsgründen empfehlen wir Ihnen, dies mit "Ja" zu beantworten. Es ist jedoch vollkommen in Ordnung, mit "Nein" zu antworten, wenn Sie sich nicht für eine Ratenbegrenzung interessieren.

Google Authenticator konfigurieren

Die Linux-Seite der Dinge funktioniert. Jetzt ist es an der Zeit, die Google Authenticator-App so zu konfigurieren, dass sie mit dem neuen Setup funktioniert. Öffnen Sie zunächst die App und wählen Sie die Option „Geben Sie einen bereitgestellten Schlüssel ein“. Daraufhin wird ein Bereich "Kontodetails eingeben" angezeigt.

In diesem Bereich müssen zwei Dinge ausgefüllt werden: der Name des PCs, mit dem Sie den Authentifikator verwenden, sowie der geheime Schlüssel, den Sie zuvor notiert haben. Füllen Sie beide aus, und Google Authenticator ist betriebsbereit.

Einloggen

Sie haben Google Authenticator unter Linux sowie Ihr Mobilgerät eingerichtet und alles funktioniert ordnungsgemäß zusammen. Um sich anzumelden, wählen Sie den Benutzer in GDM (oder LightDM usw.) aus. Unmittelbar nach Auswahl des Benutzers fordert Ihr Betriebssystem einen Authentifizierungscode an. Öffnen Sie Ihr Mobilgerät, rufen Sie Google Authenticator auf und geben Sie den Code ein, der im Anmeldemanager angezeigt wird.

Wenn der Code erfolgreich ist, können Sie den Passcode des Benutzers eingeben.

Hinweis: Das Einrichten von Google Authenticator unter Linux wirkt sich nicht nur auf den Anmeldemanager aus. Stattdessen ist jedes Mal, wenn ein Benutzer versucht, Root-Zugriff zu erhalten, auf Sudo-Berechtigungen zuzugreifen oder etwas zu tun, für das ein Kennwort erforderlich ist, ein Authentifizierungscode erforderlich.

Fazit

Wenn die Zwei-Faktor-Authentifizierung direkt mit dem Linux-Desktop verbunden ist, wird eine zusätzliche Sicherheitsebene hinzugefügt, die standardmäßig vorhanden sein sollte. Wenn diese Option aktiviert ist, ist es viel schwieriger, auf das System einer anderen Person zuzugreifen.

Zwei Faktoren können manchmal zweifelhaft sein (z. B. wenn Sie für den Authentifikator zu langsam sind), aber insgesamt ist dies eine willkommene Ergänzung für jeden Linux-Desktop-Manager.