Recentment google va llançar la autenticació a dues passes per al seu sistema de correus electrònics, bàsicament és una aplicació de generació de codis de 6 dígits en el teu telèfon mòbil el qual permet tenir una doble validació per accedir a l'correu electrònic de manera mes segura, a l'comptar amb un codi numèric aleatori que canvia a raó d'un minut i el qual ha de ser ingressat posteriorment a l'ingrés de la contrasenya habitual.Esta doble validació també pot ser implementada a Ubuntu per autentificar a pocs minuts l'ingrés dels usuaris, eina que permetrà mantenir els curiosos fora del teu ordinador encara que coneguin la contrasenya primària. |
Aquí deixo un petit tutorial per realitzar aquesta implementació:
Pas 1: Instal·lar el Google Authenticator al teu mòbil
Descarrega el Google Authenticator al telèfon mòbil. Per als usuaris d'Android deixo aquí el següent enllaç:
L'aplicació també està disponible per a Iphone i Blackberry.
Pas 2: Descarregar el paquet per UBUNTU
Afegeix a la llista de fonts de paquets el següent PPA executant la comanda a continuació des d'una consola:
suo add-apt-repository ppa: failshell / stable
Pas 3: Actualitza les llistes d'APP
Executa la següent comanda per actualitzar la base de dades de les fonts PPA del teu sistema:
sudo apt-get update
Pas 4: Instal·lar el mòdul per al PAM (Pluggable Authentication Module)
Executa la comanda annex, això s'instal·lés al teu sistema dos arxius per establir l'autenticació a dues passes: /lib/security/pam_google_authenticator.so i / usr / bin / google-Authenticator.
sudo apt-get install libpam-google-Authenticator
Pas 5: Configurar el compte d'accés
Ara cal executar des de la consola la comanda «google-Authenticator» per configurar el compte des del qual t'has loguejat. Un cop executat la comanda apareixerà en pantalla un codi QR. Hauràs de fer servir l'aplicació (Google Authenticator) acabada d'instal·lar al teu mòbil per poder obtenir els codis d'autenticació associats al teu login.
Et recomano fer un "print screen» o captura de pantalla de el codi QR perquè puguis posteriorment associar altres dispositius.
Pas 6: Configurar el PAM per a l'ús d'autenticació a dues passes
Obre una terminal i afegeix la següent línia a l'arxiu /etc/pam.d/sudo utilitza suo vaig veure o sudo gvim per fer el canvi:
autenticació necessària pam_google_authenticator.so
Obre una nova terminal i executa:
suo ls
El sistema demanarà la contrasenya i després a la sol·licitud de «Verification code:». Ingressa els dígits observats en l'aplicació Google Authenticator al teu mòbil.
Tindràs uns tres minuts a partir de l'canvi de el codi numèric. Independentment que el codi numèric canviï romandrà actiu per dos minuts addicionals.
Si tot va bé edita de nou l'arxiu /etc/pam.d/sudo eliminant la línia que has afegit «auth required pam_google_authenticator.so», guarda i sal.
Ara per obtenir la major protecció implementat la validació a pocs minuts afegeix amb suo vaig veure, suo gvim o qualsevol altre editor de la teva preferència però sempre amb sudo la línia «auth required pam_google_authenticator.so» a l'arxiu «/etc/pam.d/auth »i d'ara en endavant qualsevol validació requerirà de doble autenticació.
Si vols ser menys restrictiu pots utilitzar qualsevol altre arxiu en el directori /etc/pam.d, depenent de quines siguin les teves necessitats de seguretat.
A mi no em funciona el PPA en Mint XFCE.
Suposo que caldrà esperar uns dies a que estigui disponible per a aquesta distro.
Doncs, en el teu cas, entenc que seria lightdm.
Respecte de la «inviolabilitat», és això ... que algú amb prou feines coneixements tècnics i que sàpiga què fitxer buscar pot passar per alt el que en aparença és un sistema de seguretat més complicat. Això, sempre que aquesta persona tingui accés físic al teu ordinador. Per això, aquest sistema és realment útil en els casos en què es realitzen logins remots, com a l'usar sshd.
Salutacions! Pau.
En la carpeta pam.d existeixen:
/etc/pam.d/lightdm
/etc/pam.d/kdm
(Ús Ubuntu 12.04 i tinc instal·lat el KDE, aunuqe meu escriptori és Gnome 3.4)
Però a l'afegir l'autorització no em deixa loguearme, em diu: «error crític», vaig haver de deixar-los com estaven des de la terminal al «Recovery Mode»
La resta sobre el sshd no em quedo molt clar, però una recomanació per fer realment el sistema més segur i menys «inviolable» em serien de gran utilitat. Ús Linux des de fa uns 3 anys entre molts motius per la seva robustes i seguretat i sempre busco la forma de posar tot mes difícil, afegir capes i seguretat, com vaig dir un "TIP» de com utilitzar adequadament la verificació en 2 passos en Ubuntu seria excel·lent . =)
Depenent de el sistema que utilitzis seria una d'aquestes opcions:
/etc/pam.d/gdm
/etc/pam.d/lightdm
/etc/pam.d/kdm
/etc/pam.d/lxdm
etcètera...
Igualment, dejame aclarir que té més sentit utilitzar-lo amb sshd, per exemple, que amb per al login de la compu. Per la simple raó que la clau secreta es guarda en una carpeta del teu home amb el que algú que tingui accés al teu computar pot iniciar des d'un livecd, copiar la clau i generar un parell de tokens propi. Sí, és veritat que «fa les coses més difícils» però no és un sistema inviolable ... tot i que es molt cool.
El mateix problema no existiria per a processos que requereixen un login remot, com sshd.
Salutacions! Pau.
Ok, ja quedo, si només ho vull activar l'verificació en 2 passos per a l'inici de sessió a què fitxer afegeixo «auth required pam_google_authenticator.so» a pam.d?
Gràcies Excel·lent Recurs!
si funciona, jo tinc 12.04 i he afegit repos PPA
El PPA no funciona en Ubuntu 12.04 Alguna solució?
Saludps