Koduleht » kuidas » Kuidas oma Linuxi töölauale Google Authenticatoriga sisse logida

    Kuidas oma Linuxi töölauale Google Authenticatoriga sisse logida

    Täiendava turvalisuse tagamiseks võite Linuxi arvutisse sisselogimiseks nõuda ajapõhist autentimistähist ja parooli. See lahendus kasutab Google Authenticatorit ja teisi TOTP-rakendusi.

    See protsess viidi läbi Ubuntu 14.04-ga standardse Unity töölaua ja LightDM-i sisselogimishalduriga, kuid põhimõtted on ühesugused enamikus Linuxi jaotustes ja töölaudades.

    Me näitasime teile, kuidas nõuda Google Authenticatorilt kaugjuurdepääsu SSH kaudu ja see protsess on sarnane. See ei vaja rakendust Google Authenticator, kuid töötab koos ühilduva rakendusega, mis rakendab TOTP autentimisskeemi, sealhulgas Authy.

    Installige Google Authenticator PAM

    Nagu SSH-juurdepääsu seadistamisel, peame kõigepealt installima sobiva PAM-i („pluggable-authentication module”) tarkvara. PAM on süsteem, mis võimaldab meil erinevat tüüpi autentimismeetodeid Linuxi süsteemi ühendada ja neid nõuda.

    Ubuntu puhul paigaldab järgmine käsk Google Authenticator PAM. Avage aken Terminal, sisestage järgmine käsk, vajutage Enter ja sisestage oma parool. Süsteem laadib alla PAM-i oma Linuxi distributsiooni tarkvarahoidlast ja installib selle:

    sudo apt-get installige libpam-google-authentator

    Teised Linuxi distributsioonid peaksid loodetavasti ka seda paketti hõlpsaks paigaldamiseks pakkuma - avage oma Linuxi jaotusprogrammi hoidlad ja otsige seda. Halvimal juhul võite GitHubis leida PAM-mooduli lähtekoodi ja kompileerida selle ise.

    Nagu me juba varem märkisime, ei sõltu see lahendus Google'i serverite "kodust" helistamisest. See rakendab standardset TOTP-algoritmi ja seda saab kasutada ka siis, kui teie arvutil pole Interneti-ühendust.

    Looge oma autentimisvõtmed

    Nüüd peate looma salajase autentimisvõtme ja sisestama selle Google'i autentimise rakenduse (või sarnase) rakenduse oma telefoni. Esmalt logige sisse oma kasutajakontol oma Linuxi süsteemis. Avage terminaliaken ja käivitage google-autentija käsk. Tüüp y ja järgige siin toodud juhiseid. See loob spetsiaalse faili praeguse kasutajakonto kataloogis koos Google Authenticatori teabega.

    Te saate ka kõndida läbi selle protsessi, et saada selle kahe teguri kinnituskood Google Authenticatorisse või sarnasesse TOTP rakendusse nutitelefonis. Teie süsteem saab genereerida QR-koodi, mida saate skannida, või saate selle sisestada käsitsi.

    Pange kindlasti tähele oma hädaolukorra nullkoodid, mida saate telefoni sisselogimiseks kasutada.

    Mine läbi selle protsessi iga arvutit kasutava kasutajakonto puhul. Näiteks kui sa oled ainus inimene, kes teie arvutit kasutab, saate seda teha lihtsalt oma tavalisel kasutajakontol. Kui teil on keegi teine, kes teie arvutit kasutab, tahad nad oma kontole sisse logida ja luua oma kontole sobiva kahekordse koodi, et nad saaksid sisse logida.

    Aktiveeri autentimine

    Siin on asjad, kus asjad natuke närbuvad. Kui selgitasime, kuidas lubada SSH-i sisselogimisel kahekordset tegurit, nõudsime seda ainult SSH-i sisselogimisel. See kindlustas, et sa võiksid end endiselt sisse logida, kui olete kaotanud oma autentimisrakenduse või kui midagi läks valesti.

    Kuna me lubame kohalike sisselogimiste jaoks kahe teguri autentimist, on siin võimalikud probleemid. Kui midagi läheb valesti, siis ei pruugi te sisse logida. Seda silmas pidades liigume teid ainult graafiliste sisselogimiste jaoks. See annab sulle evakuatsiooniluugi, kui seda vajate.

    Luba Google Authenticator graafilistele logidele Ubuntu'is

    Sa võid alati lubada kaheastmelist autentimist ainult graafiliste sisselogimiste puhul, jättes selle sisselogimisel tekstireale välja. See tähendab, et saate hõlpsasti üle minna virtuaalsele terminalile, sisse logida ja oma muudatused tagasi võtta, nii et Gogole Authenciator ei oleks vaja, kui teil tekib probleem.

    Muidugi avab see teie autentimissüsteemis augu, kuid füüsiline juurdepääs teie süsteemile võib juba seda kasutada. Sellepärast on kaheteguriline autentimine eriti tõhus SSH kaudu sisselogimisel.

    Siin on, kuidas seda teha Ubuntu jaoks, mis kasutab LightDM-i sisselogimishaldurit. Avage redigeerimiseks vajalik LightDM-fail käsuga nagu:

    sudo gedit /etc/pam.d/lightdm

    (Pidage meeles, et need konkreetsed sammud toimivad ainult siis, kui teie Linuxi levitamine ja töölaud kasutavad LightDM-i sisselogimise haldurit.)

    Lisage faili lõppu järgmine rida ja salvestage see:

    nõutav on pam_google_authenticator.so nullok

    Lõpus olev nullok bit ütleb, et süsteem lubab kasutajal sisse logida isegi siis, kui nad ei käivita google-authentator käsku, et luua kahefaktoriline autentimine. Kui nad on selle üles seadnud, peavad nad sisestama aeg-baesd-koodi - vastasel juhul nad seda ei tee. Eemaldage nullok ja kasutajakontod, kes ei ole Google'i autentimiskoodi seadistanud, ei saa lihtsalt graafiliselt sisse logida.

    Järgmisel korral, kui kasutaja sisse logib graafiliselt, palutakse neil oma parool ja seejärel küsitakse, milline on nende telefoni ekraanil kuvatav kontrollkood. Kui nad ei sisesta kinnituskoodi, ei lubata neil sisse logida.

    Protsess peaks olema teiste Linuxi distributsioonide ja lauaarvutite puhul üsna sarnane, kuna kõige tavalisemad Linuxi töölaua seansijuhid kasutavad PAM-i. Tõenäoliselt peate lihtsalt PAM-mooduli aktiveerimiseks muutma mõnda muud sarnast faili.

    Kui kasutate Home Directory krüpteerimist

    Ubuntu vanemad väljaanded pakkusid lihtsat "kodukausta krüpteerimist", mis krüpteeris kogu teie kodukataloogi kuni parooli sisestamiseni. Täpsemalt kasutab see ecryptfs. Kuna aga PAM-tarkvara sõltub vaikimisi Google'i autentimisfailist, mis on teie kodukataloogis salvestatud, häirib krüpteerimine faili PAM-i lugemist, välja arvatud juhul, kui olete veendunud, et see on krüpteerimata kujul süsteemile enne sisselogimist. teave selle probleemi vältimise kohta, kui kasutate ikka veel kahanenud kodu kataloogi krüpteerimisvalikuid.

    Ubuntu kaasaegsed versioonid pakuvad selle asemel täieliku ketta krüpteerimist, mis töötab hästi ülaltoodud võimalustega. Sa ei pea midagi erilist tegema

    Abi, see murdis!

    Kuna me lihtsalt lubasime seda graafiliste sisselogimiste jaoks, peaks see olema lihtne keelata, kui see põhjustab probleemi. Vajutage klahvikombinatsiooni, nagu Ctrl + Alt + F2, et pääseda virtuaalsele terminalile ja sisse logida oma kasutajanime ja parooliga. Seejärel saate kasutada sellist käsku nagu sudo nano /etc/pam.d/lightdm faili avamiseks terminali tekstiredaktoris redigeerimiseks. Kasutage meie Nano juhendit rea eemaldamiseks ja faili salvestamiseks ning saate uuesti sisse logida.


    Võite sundida Google Authenticatorit nõutama ka muud tüüpi sisselogimiste puhul - potentsiaalselt isegi kõigi süsteemi sisselogimiste puhul -, lisades rida „auth kohustuslik pam_google_authenticator.so” teistele PAM-i konfiguratsioonifailidele. Olge ettevaatlik, kui te seda teete. Ja pidage meeles, et võiksite lisada „nullok”, nii et kasutajad, kes ei ole seadistusprotsessi läbinud, saavad end sisse logida.

    Lisateavet selle PAM-mooduli kasutamise ja seadistamise kohta leiate tarkvara README failist GitHubis.