Kaksivaiheinen käyttöoikeus Ubuntulle Google Authenticatorin avulla

äskettäin Google käynnisti kaksivaiheinen todennus sähköpostijärjestelmällesi se on pohjimmiltaan matkapuhelimesi 6-numeroinen koodinluontisovellus, jonka avulla sinulla on kaksinkertainen vahvistus sähköpostin käyttämiseen turvallisemmalla tavalla, jos sinulla on satunnainen numeerinen koodi, joka muuttuu yhden minuutin nopeudella ja joka on syötettävä tavallisen salasanasi antamisen jälkeen toteutettu Ubuntussa todentaa käyttäjän merkinnät kahdessa vaiheessa, työkalu, joka pitää uteliaat poissa tietokoneeltasi, vaikka he tietävätkin ensisijaisen salasanasi.

Tämä on Jairo J. Rodriguezin panos, josta tulee siten yksi viikoittaisen kilpailumme voittajista: «Jaa mitä tiedät Linuxista«. Onnittelut Jairo!

Tässä on pieni opetusohjelma tämän toteutuksen suorittamiseksi:

Vaihe 1: Asenna Google Authenticator matkapuhelimeesi

Lataa Google Authenticator matkapuhelimeesi. Android-käyttäjille jätän seuraavan linkin tähän:

Sovellus on saatavana myös iPhonelle ja Blackberrylle.

Vaihe 2: Lataa paketti UBUNTU

Lisää seuraava PPA pakettilähteiden luetteloon suorittamalla alla oleva komento konsolista:

sudo add-apt-repository ppa: Failshell / vakaa

Vaihe 3: Päivitä APP-luettelot

Suorita seuraava komento päivittääksesi järjestelmän PPA-lähteiden tietokannan:

sudo apt-get update

Vaihe 4: Asenna PAM-moduuli (Pluggable Authentication Module)

Suorita oheinen komento, tämä asentaa kaksi tiedostoa järjestelmään kaksivaiheisen todennuksen luomiseksi: /lib/security/pam_google_authenticator.so ja / usr / bin / google-authentator.

sudo apt-get install libpam-google-authentator

Vaihe 5: Määritä käyttöoikeustili

Nyt on suoritettava komento «google-authentator» konsolista, jotta voit määrittää tilin, jolta olet kirjautunut sisään. Kun komento on suoritettu, QR-koodi ilmestyy näytölle. Sinun on käytettävä juuri matkapuhelimeesi asennettua sovellusta (Google Authenticator), jotta voit saada kirjautumistasi liittyvät todennuskoodit.

Suosittelen tekemään "tulostusnäyttö" tai kuvakaappaus QR-koodista, jotta voit myöhemmin liittää muita laitteita.

Vaihe 6: Määritä PAM käyttämään kaksivaiheista todennusta.

Avaa pääte ja lisää seuraava rivi tiedostoon /etc/pam.d/sudo ja tee muutos sudo vi tai sudo gvim:

Autentti vaaditaan pam_google_authenticator.so
Huomaa: On suositeltavaa jättää nykyinen istunto auki, koska jos olet tehnyt virheen kokoonpanossa, voit kumota kaikki muutokset.

Avaa uusi pääte ja suorita:

sudo ls

Järjestelmä kysyy salasanaa ja kysyy sitten «Vahvistuskoodi:». Syötä havaitut numerot matkapuhelimesi Google Authenticator -sovellukseen.

Sinulla on noin kolme minuuttia numerokoodin muutoksesta. Huolimatta siitä, muuttuuko koodinumero, se pysyy aktiivisena vielä kaksi minuuttia.

Jos kaikki menee hyvin, muokkaa tiedostoa /etc/pam.d/sudo uudelleen, poista lisäämäsi rivi "auth required pam_google_authenticator.so", tallenna ja poistu.

Parhaan suojan saamiseksi nyt kaksivaiheinen vahvistus lisätään sudo vi, sudo gvim tai millä tahansa muulla valitsemallasi editorilla, mutta aina sudolla rivi «auth required pam_google_authenticator.so» tiedostoon «/etc/pam.d/ auth »Ja tästä lähtien mikä tahansa vahvistus vaatii kaksoistodennuksen.

Jos haluat olla vähemmän rajoittava, voit käyttää mitä tahansa muuta tiedostoa /etc/pam.d -hakemistossa, riippuen tietoturvatarpeistasi.


7 kommenttia, jätä omasi

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   Daniel dijo

    PPA ei toimi minulle Mint XFCE: ssä.
    Luulen, että joudumme odottamaan muutaman päivän, ennen kuin se on saatavilla tälle distolle.

  2.   Käytetään Linuxia dijo

    No, sinun tapauksessasi ymmärrän, että se olisi kevyt.
    Mitä tulee "peukalointiin", siinä se on ... joku, jolla on vähän teknistä tietämystä ja joka tietää mitä tiedostoa etsitään, voi ohittaa monimutkaisemman turvajärjestelmän. Tämä, kunhan henkilöllä on fyysinen pääsy tietokoneellesi. Siksi tämä järjestelmä on todella hyödyllinen tapauksissa, joissa etäkirjautumista suoritetaan, esimerkiksi kun käytetään sshd: tä.
    Kippis! Paul.

  3.   Guillermo dijo

    Pam.d-kansiossa on:

    /etc/pam.d/lightdm
    /etc/pam.d/kdm

    (Käytän Ubuntu 12.04: tä ja minulla on asennettuna KDE, vaikka työpöytäni onkin Gnome 3.4)

    Mutta kun lisätään valtuutus, se ei anna minun kirjautua sisään, se kertoo minulle: "kriittinen virhe", minun piti jättää ne sellaisina kuin ne olivat terminaalista "palautustilassa"

    Loput sshd: stä eivät ole minulle kovin selkeitä, mutta suositus järjestelmän todellisesta parantamisesta turvallisemmaksi ja vähemmän "loukkaamattomaksi" olisi erittäin hyödyllinen. Käytän Linuxia noin 3 vuotta muun muassa sen vankkuuteen ja turvallisuuteen liittyvistä syistä, ja etsin aina tapaa vaikeuttaa kaikkea, lisätä kerroksia ja tietoturvaa, kuten sanoin "VINKKI" siitä, miten kaksivaiheista vahvistusta käytetään oikein Ubuntu olisi erinomainen. =)

  4.   Käytetään Linuxia dijo

    Käyttämästäsi järjestelmästä riippuen se olisi yksi näistä vaihtoehdoista:
    /etc/pam.d/gdm
    /etc/pam.d/lightdm
    /etc/pam.d/kdm
    /etc/pam.d/lxdm
    ja niin edelleen

    Samoin haluaisin selventää, että on järkevämpää käyttää sitä esimerkiksi sshd: n kanssa kuin tietokoneen sisäänkirjautumisen yhteydessä. Yksinkertaisesta syystä, että salainen avain tallennetaan kotiisi kansioon, jotta joku, jolla on pääsy tietokoneellesi, voi aloittaa livecd-tiedostosta, kopioida avaimen ja luoda oman tunnusparinsa. Kyllä, on totta, että se "vaikeuttaa asioita", mutta se ei ole loukkaamaton järjestelmä ... vaikka se onkin erittäin siistiä.

    Samaa ongelmaa ei olisi olemassa prosesseille, jotka vaativat etäkirjautumista, kuten sshd.

    Kippis! Paul.

  5.   Guillermo dijo

    Okei, siinä kaikki, jos haluan aktivoida vahvistuksen vain kahdessa vaiheessa kirjautumista varten, mihin tiedostoon lisätään "auth required pam_google_authenticator.so" pam.d-tiedostoon?

    Kiitos Erinomainen resurssi!

  6.   Keos dijo

    jos se toimii, minulla on 12.04 ja olen lisännyt takaisinostosopimukset PPA

  7.   Guillermo dijo

    PPA ei toimi Ubuntu 12.04: ssä Onko ratkaisuja?

    Kippis