|
Recientemente Google стартира двустепенно удостоверяване За вашата имейл система това е основно 6-цифрено приложение за генериране на код на вашия мобилен телефон, което ви позволява да имате двойна проверка за по-сигурен достъп до имейла, като имате произволен цифров код, който се променя със скорост една минута и който трябва да бъде въведено след въвеждане на обичайната ви парола. Това двойно валидиране също може да бъде внедрен в Ubuntu за удостоверяване на влизането на потребителя в две стъпки, инструмент, който ще предпази любопитните от компютъра ви, дори ако те знаят основната ви парола. |
Ето малък урок за извършване на това изпълнение:
Стъпка 1: Инсталирайте Google Authenticator на мобилния си телефон
Изтеглете Google Authenticator на мобилния си телефон. За потребители на Android оставям следната връзка тук:
Приложението е достъпно и за Iphone и Blackberry.
Стъпка 2: Изтеглете пакета за UBUNTU
Добавете следния PPA към списъка с източници на пакети, като изпълните командата по-долу от конзола:
sudo add-apt-repository ppa: неуспешна / стабилна
Стъпка 3: Актуализирайте списъците с приложения
Изпълнете следната команда, за да актуализирате базата данни на PPA източници във вашата система:
Sudo актуализация ап-да
Стъпка 4: Инсталирайте модула за PAM (Pluggable Authentication Module)
Изпълнете приложената команда, това ще инсталира два файла във вашата система за установяване на удостоверяване в две стъпки: /lib/security/pam_google_authenticator.so и / usr / bin / google-authentator.
sudo apt-get инсталирайте libpam-google-authenticate
Стъпка 5: Конфигурирайте акаунта за достъп
Сега е необходимо да изпълните командата «google-authenticate» от конзолата, за да конфигурирате акаунта, от който сте влезли. След като командата бъде изпълнена, на екрана ще се появи QR код. Трябва да използвате току-що инсталираното на мобилния си телефон приложение (Google Authenticator), за да можете да получавате кодовете за удостоверяване, свързани с вашия вход.
Препоръчвам да направите "екран за печат" или екранна снимка на QR кода, за да можете по-късно да свържете други устройства.
Стъпка 6: Конфигурирайте PAM да използва двуфакторно удостоверяване.
Отворете терминал и добавете следния ред към файла /etc/pam.d/sudo и използвайте sudo vi или sudo gvim, за да направите промяната:
задължително удостоверяване pam_google_authenticator.so
Отворете нов терминал и стартирайте:
sudo ls
Системата ще поиска паролата и след това заявката за "Код за потвърждение:". Въведете наблюдаваните цифри в приложението Google Authenticator на мобилния си телефон.
Ще имате около три минути от промяната на цифровия код. Независимо дали номерът на кода се променя, той ще остане активен още две минути.
Ако всичко върви добре, редактирайте отново файла /etc/pam.d/sudo, като премахнете реда, който сте добавили "auth required pam_google_authenticator.so", запазете и излезте.
Сега, за да получите най-добрата защита, внедрите двуетапната валидация, добавете със sudo vi, sudo gvim или друг редактор по ваше предпочитание, но винаги със sudo на реда «изисква се автентичност pam_google_authenticator.so» към файла «/etc/pam.d/ auth »И отсега нататък всяка проверка ще изисква двойно удостоверяване.
Ако искате да бъдете по-малко ограничителни, можете да използвате всеки друг файл в директорията /etc/pam.d, в зависимост от вашите нужди за сигурност.
PPA не работи за мен в Mint XFCE.
Предполагам, че ще трябва да изчакаме няколко дни, за да бъде наличен за тази дистрибуция.
Е, във вашия случай разбирам, че би било lightdm.
Що се отнася до „подправяне“, това е ... някой с малко технически познания и кой знае какъв файл да търси може да заобиколи това, което изглежда по-сложна система за сигурност. Това, стига това лице да има физически достъп до вашия компютър. Следователно тази система е наистина полезна в случаите, когато се извършват отдалечени влизания, като например при използване на sshd.
Наздраве! Павел.
В моята папка pam.d има:
/etc/pam.d/lightdm
/etc/pam.d/kdm
(Използвам Ubuntu 12.04 и имам инсталиран KDE, въпреки че работният ми плот е Gnome 3.4)
Но при добавяне на упълномощаването не ми позволява да вляза, той ми казва: „критична грешка“, трябваше да ги оставя така, както бяха от терминала в „Режим на възстановяване“
Останалото за sshd не ми е много ясно, но препоръка наистина да направя системата по-сигурна и по-малко "неприкосновена" би ми била много полезна. Използвам Linux от около 3 години сред много причини за неговата стабилност и сигурност и винаги търся начин да направя всичко по-трудно, да добавя слоеве сигурност, както казах "СЪВЕТ" за правилното използване на 2-стъпка проверката в Ubuntu би била отлична. =)
В зависимост от системата, която използвате, това би била една от следните опции:
/etc/pam.d/gdm
/etc/pam.d/lightdm
/etc/pam.d/kdm
/etc/pam.d/lxdm
и т.н.
Също така, нека да поясня, че има по-смисъл да се използва например с sshd, отколкото с компютърния вход. По простата причина, че секретният ключ се запазва в папка във вашия дом, така че някой, който има достъп до компютъра ви, да може да започне от livecd, да копира ключа и да генерира собствена двойка жетони. Да, вярно е, че "затруднява нещата", но не е неприкосновена система ... въпреки че е много готина.
Същият проблем няма да съществува за процеси, които изискват отдалечено влизане, като sshd.
Наздраве! Павел.
Добре, това е, ако искам само да активирам проверката в 2 стъпки за влизане към кой файл да добавя "auth required pam_google_authenticator.so" в pam.d?
Благодаря Отличен ресурс!
ако работи, имам 12.04 и съм добавил репо PPA
PPA не работи на Ubuntu 12.04 Някакви решения?
Наздраве