Jak włączyć uwierzytelnianie dwuskładnikowe w systemie Linux, aby się zalogować

Linux jest znany z tego, że wymaga hasła, aby cokolwiek zrobić z systemem podstawowym. Z tego powodu wielu uważa Linuksa za nieco bezpieczniejszy niż większość systemów operacyjnych (choć w żadnym wypadku nie jest doskonały). Posiadanie silnego hasła i dobrych zasad sudoer jest świetne, ale nie jest głupie, a czasem nie wystarczy, aby cię chronić. Właśnie dlatego wielu w dziedzinie bezpieczeństwa zaczęło używać uwierzytelniania dwuskładnikowego w systemie Linux

W tym artykule omówimy, jak włączyć uwierzytelnianie dwuskładnikowe w systemie Linux za pomocą Google Authenticator.

Instalacja

Korzystanie z Google Authenticator jest możliwe dzięki pam podłącz. Użyj tej wtyczki z GDM (i innymi menedżerami pulpitu, które ją obsługują). Oto jak zainstalować go na komputerze z systemem Linux.

Uwaga: przed skonfigurowaniem tej wtyczki na komputerze z systemem Linux przejdź do Sklep Google Play (lub) Apple App Store i pobierz Google Authenticator, ponieważ jest to kluczowa część tego samouczka.

Ubuntu

sudo apt install libpam-google -hentator

Debian

sudo apt-get install libpam-google -hentator

Arch Linux

Arch Linux domyślnie nie obsługuje modułu uwierzytelniania pam Google. Zamiast tego użytkownicy będą musieli pobrać i skompilować moduł za pomocą pakietu AUR. Pobierz najnowszą wersję PKGBUILD lub skieruj na nią swojego ulubionego pomocnika AUR, aby działał.

Fedora

sudo dnf zainstaluj google-uwierzytelnianie

OpenSUSE

sudo zypper zainstaluj google-autentator-libpam

Inne Linuxes

Kod źródłowy Google Authenticator w wersji dla systemu Linux, a także wtyczka libpam używana w tym przewodniku są łatwo dostępne na Github. Jeśli używasz nietradycyjnej dystrybucji Linuksa, idź tutaj i postępuj zgodnie z instrukcjami na stronie. Instrukcje mogą pomóc Ci skompilować go ze źródła.

Skonfiguruj Google Authenticator w systemie Linux

Plik konfiguracyjny wymaga edycji, zanim pam będzie działał z wtyczką Google Authentication. Aby zmodyfikować ten plik konfiguracyjny, otwórz okno terminala. W terminalu uruchom:

sudo nano /etc/pam.d/common-auth

W pliku common-auth jest wiele do zobaczenia. Wiele komentarzy i uwag na temat tego, jak system powinien używać ustawień uwierzytelniania między usługami w systemie Linux. Zignoruj ​​to wszystko w pliku i przewiń w dół do „# tutaj są moduły na pakiet (blok„ Główny ”). Przesuń kursor pod nim za pomocą klawisza strzałki w dół i naciśnij klawisz Enter, aby utworzyć nową linię. Następnie napisz:

wymagane uwierzytelnianie pam_google_authenticator.so

Po zapisaniu tej nowej linii naciśnij CTRL + O aby zapisać edycję. Następnie naciśnij CTRL + X wyjść z Nano.

Następnie wróć do terminala i wpisz „google -hentator”. Następnie zostaniesz poproszony o udzielenie odpowiedzi na kilka pytań.

Pierwsze pytanie, jakie zadaje Google Authenticator, brzmi: „Czy chcesz, aby tokeny uwierzytelniające były oparte na czasie”? Odpowiedz „tak”, naciskając y na klawiaturze.

Po udzieleniu odpowiedzi na to pytanie narzędzie wydrukuje nowy tajny klucz oraz niektóre kody alarmowe. Zapisz ten kod, ponieważ jest to ważne.

Kontynuuj i odpowiedz na kolejne trzy pytania jako „tak”, a następnie „nie” i „nie”.

Ostatnie pytanie, jakie zadaje autor uwierzytelnienia, dotyczy ograniczenia prędkości. To ustawienie, gdy jest włączone, sprawia, że ​​Google Authenticator zezwala tylko na 3 próby try / fail co 30 sekund. Ze względów bezpieczeństwa zalecamy odpowiedź twierdzącą na to pytanie, ale odpowiedź OK jest całkowicie OK, jeśli ograniczanie stawek nie jest dla Ciebie ważne.

Konfigurowanie Google Authenticator

Działa strona systemu Linux. Teraz nadszedł czas, aby skonfigurować aplikację Google Authenticator, aby działała z nową konfiguracją. Aby rozpocząć, otwórz aplikację i wybierz opcję „wprowadź dostarczony klucz”. Pojawi się obszar „wprowadź dane konta”.

W tym obszarze należy wypełnić dwie rzeczy: nazwę komputera, na którym używasz uwierzytelniacza, a także tajny klucz, który zapisałeś wcześniej. Wypełnij oba, a Google Authenticator będzie działał.

Logowanie

Skonfigurowałeś Google Authenticator na Linuksie, a także na urządzeniu mobilnym i wszystko działa razem tak, jak powinno. Aby się zalogować, wybierz użytkownika w GDM (lub LightDM itp.). Natychmiast po wybraniu użytkownika system operacyjny poprosi o kod uwierzytelniający. Otwórz urządzenie mobilne, przejdź do Google Authenticator i wprowadź kod, który pojawi się w menedżerze logowania.

Jeśli kod się powiedzie, będziesz mógł wprowadzić hasło użytkownika.

Uwaga: konfiguracja Google Authenticator w systemie Linux nie wpływa tylko na menedżera logowania. Zamiast tego za każdym razem, gdy użytkownik próbuje uzyskać dostęp do konta root, uzyskać dostęp do uprawnień sudo lub zrobić coś, co wymaga hasła, wymagany jest kod uwierzytelniający.

Wniosek

Uwierzytelnianie dwuskładnikowe bezpośrednio podłączone do pulpitu Linux dodaje dodatkową warstwę bezpieczeństwa, która powinna być domyślnie. Po włączeniu tej opcji znacznie trudniej jest uzyskać dostęp do czyjegoś systemu.

Dwa czynniki mogą być czasem niepewne (na przykład, jeśli jesteś zbyt wolny dla uwierzytelniacza), ale w sumie jest to mile widziany dodatek do każdego menedżera pulpitu Linux.