Zweistufiger Benutzerzugriff für Ubuntu mit Google Authenticator

Alejandro (a.k.a KZKG^Gaara)

3 Minuten

 Recientemente Google startete die zweistufige Authentifizierung Für Ihr E-Mail-System handelt es sich im Grunde genommen um eine 6-stellige Codegenerierungsanwendung auf Ihrem Mobiltelefon, mit der Sie eine doppelte Validierung durchführen können, um sicherer auf die E-Mail zuzugreifen, indem Sie einen zufälligen numerischen Code verwenden, der sich mit einer Geschwindigkeit ändert eine Minute und die muss nach Eingabe Ihres üblichen Passwortes eingegeben werden. Diese doppelte Validierung kann auch sein in Ubuntu implementiert um die Benutzereingabe in zwei Schritten zu authentifizieren, ein Tool, das Neugierige von Ihrem Computer fernhält, selbst wenn sie Ihr primäres Passwort kennen.

Dies ist ein Beitrag von Jairo J. Rodriguez, der damit zu einem der Gewinner unseres wöchentlichen Wettbewerbs wird: «Teilen Sie mit, was Sie über Linux wissen«. Glückwunsch Jairo!

Hier ist ein kleines Tutorial, um diese Implementierung durchzuführen:

Schritt 1: Installieren Sie Google Authenticator auf Ihrem Handy

Laden Sie den Google Authenticator auf Ihr Handy herunter. Für Android-Nutzer lasse ich hier folgenden Link:

Die Anwendung ist auch für Iphone und Blackberry verfügbar.

Schritt 2: Laden Sie das Paket für UBUNTU herunter

Fügen Sie der Liste der Paketquellen die folgende PPA hinzu, indem Sie den folgenden Befehl von einer Konsole aus ausführen:

sudo add-apt-repository ppa: Failshell / Stable

Schritt 3: Aktualisieren Sie die APP-Listen

Führen Sie den folgenden Befehl aus, um die Datenbank der PPA-Quellen auf Ihrem System zu aktualisieren:

sudo apt-get update

Schritt 4: Installieren Sie das Modul für das PAM (Pluggable Authentication Module).

Führen Sie den angehängten Befehl aus. Dadurch werden zwei Dateien auf Ihrem System installiert, um eine zweistufige Authentifizierung einzurichten: /lib/security/pam_google_authenticator.so und / usr / bin / google-authenticator.

sudo apt-get installiere libpam-google-authenticator

Schritt 5: Konfigurieren Sie das Zugriffskonto

Jetzt müssen Sie den Befehl «google-authenticator» über die Konsole ausführen, um das Konto zu konfigurieren, von dem aus Sie sich angemeldet haben. Sobald der Befehl ausgeführt wurde, wird ein QR-Code auf dem Bildschirm angezeigt. Sie müssen die gerade auf Ihrem Handy installierte Anwendung (Google Authenticator) verwenden, um die mit Ihrem Login verknüpften Authentifizierungscodes zu erhalten.

Ich empfehle, einen "Druckbildschirm" oder einen Screenshot des QR-Codes zu erstellen, damit Sie später andere Geräte zuordnen können.

Schritt 6: Konfigurieren Sie die PAM für die Verwendung der Zwei-Faktor-Authentifizierung.

Öffnen Sie ein Terminal, fügen Sie der Datei /etc/pam.d/sudo die folgende Zeile hinzu und nehmen Sie die Änderung mit sudo vi oder sudo gvim vor:

Auth erforderlich pam_google_authenticator.so
Hinweis: Es wird empfohlen, die aktuelle Sitzung offen zu lassen, da Sie alle Änderungen rückgängig machen können, wenn Sie einen Fehler in der Konfiguration gemacht haben.

Öffnen Sie ein neues Terminal und führen Sie Folgendes aus:

sudo ls

Das System fordert das Passwort und dann die Anfrage nach "Bestätigungscode:" an. Geben Sie die beobachteten Ziffern in die Google Authenticator-Anwendung auf Ihrem Handy ein.

Nach der Änderung des numerischen Codes haben Sie ungefähr drei Minuten Zeit. Unabhängig davon, ob sich die Codenummer ändert, bleibt sie weitere zwei Minuten aktiv.

Wenn alles gut geht, bearbeiten Sie die Datei /etc/pam.d/sudo erneut und entfernen Sie die Zeile "auth required pam_google_authenticator.so", speichern und beenden Sie sie.

Um den bestmöglichen Schutz zu erhalten, fügen Sie die zweistufige Validierung mit sudo vi, sudo gvim oder einem anderen Editor Ihrer Wahl hinzu, aber immer mit sudo die Zeile «auth required pam_google_authenticator.so» zur Datei «/etc/pam.d/auth »Und von nun an erfordert jede Validierung eine doppelte Authentifizierung.

Wenn Sie weniger restriktiv sein möchten, können Sie je nach Ihren Sicherheitsanforderungen jede andere Datei im Verzeichnis /etc/pam.d verwenden.


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.

  1.   Matthias sagte
    vor 11-jährige

    Die PPA funktioniert bei mir in Mint XFCE nicht.
    Ich denke, wir müssen ein paar Tage warten, bis es für diese Distribution verfügbar ist.

    Antworte Daniel
  2.   Verwenden wir Linux sagte
    vor 11-jährige

    Nun, in Ihrem Fall verstehe ich, dass es lightdm wäre.
    Wenn es um "Manipulationen" geht, ist es das ... jemand mit wenig technischem Wissen und der weiß, nach welcher Datei gesucht werden muss, kann ein scheinbar komplizierteres Sicherheitssystem umgehen. Dies, solange diese Person physischen Zugriff auf Ihren Computer hat. Daher ist dieses System in Fällen sehr nützlich, in denen Remote-Anmeldungen durchgeführt werden, z. B. bei Verwendung von sshd.
    Prost! Paul.

    Antworten Sie auf Let's Use Linux
  3.   Rechnung sagte
    vor 11-jährige

    In meinem Ordner pam.d befinden sich:

    /etc/pam.d/lightdm
    /etc/pam.d/kdm

    (Ich verwende Ubuntu 12.04 und habe KDE installiert, obwohl mein Desktop Gnome 3.4 ist.)

    Aber wenn ich die Autorisierung hinzufüge, kann ich mich nicht anmelden. Es heißt: "kritischer Fehler", ich musste sie so lassen, wie sie vom Terminal im "Wiederherstellungsmodus" waren.

    Der Rest über sshd ist mir nicht sehr klar, aber eine Empfehlung, das System wirklich sicherer und weniger "unverletzlich" zu machen, wäre sehr nützlich. Ich benutze Linux seit ungefähr 3 Jahren unter vielen Gründen für seine Robustheit und Sicherheit und suche immer nach einer Möglichkeit, alles schwieriger zu machen, Ebenen und Sicherheit hinzuzufügen, da ich sagte, ein "TIPP" zur richtigen Verwendung der 2-Schritt-Überprüfung in Ubuntu wäre ausgezeichnet . =)

    Antworte Guillermo
  4.   Verwenden wir Linux sagte
    vor 11-jährige

    Abhängig vom verwendeten System ist dies eine der folgenden Optionen:
    /etc/pam.d/gdm
    /etc/pam.d/lightdm
    /etc/pam.d/kdm
    /etc/pam.d/lxdm
    usw.

    Lassen Sie mich auch klarstellen, dass es sinnvoller ist, es beispielsweise mit sshd als mit der Computeranmeldung zu verwenden. Aus dem einfachen Grund, dass der geheime Schlüssel in einem Ordner bei Ihnen zu Hause gespeichert ist, damit jemand, der Zugriff auf Ihren Computer hat, von einer Live-CD aus starten, den Schlüssel kopieren und sein eigenes Token-Paar generieren kann. Ja, es ist wahr, dass es "die Dinge schwieriger macht", aber es ist kein unverletzliches System ... obwohl es sehr cool ist.

    Das gleiche Problem würde nicht für Prozesse wie sshd bestehen, die eine Remote-Anmeldung erfordern.

    Prost! Paul.

    Antworten Sie auf Let's Use Linux
  5.   Rechnung sagte
    vor 11-jährige

    Ok, das ist es, wenn ich die Überprüfung nur in 2 Schritten für die Anmeldung aktivieren möchte. Zu welcher Datei füge ich "auth required pam_google_authenticator.so" in pam.d hinzu?

    Vielen Dank, ausgezeichnete Ressource!

    Antworte Guillermo
  6.   KEOS sagte
    vor 11-jährige

    Wenn es funktioniert, habe ich 12.04 und ich habe Repos PPA hinzugefügt

    Antworte auf KEOS
  7.   Rechnung sagte
    vor 11-jährige

    PPA funktioniert nicht unter Ubuntu 12.04 Irgendwelche Lösungen?

    Prost

    Antworte Guillermo