גישה דו-שלבית למשתמש עבור אובונטו באמצעות מאמת גוגל

Recientemente Google השיקה את אימות דו שלבי עבור מערכת הדוא"ל שלך, זה בעצם יישום ייצור קוד בן 6 ספרות בטלפון הנייד שלך, המאפשר לך לקבל אימות כפול כדי לגשת לדוא"ל בצורה בטוחה יותר, על ידי קוד מספרי אקראי שמשתנה בקצב דקה אחת ואשר יש להזין אותה לאחר הזנת הסיסמה הרגילה שלך. אימות כפול זה יכול להיות גם מיושם באובונטו כדי לאמת את כניסת המשתמש בשני שלבים, כלי שימנע את הסקרנים מחוץ למחשב שלך גם אם הם יודעים את הסיסמה הראשית שלך.

זו תרומה של ג'יירו ג'יי רודריגז, ובכך הפך לאחד הזוכים בתחרות השבועית שלנו: «שתף את מה שאתה יודע על לינוקס«. מזל טוב יאירו!

כאן אני משאיר הדרכה קטנה לביצוע יישום זה:

שלב 1: התקן את מאמת גוגל בנייד שלך

הורד את מאמת Google בטלפון הנייד שלך. למשתמשי אנדרואיד אני משאיר את הקישור הבא כאן:

היישום זמין גם עבור Iphone ו- Blackberry.

שלב 2: הורד את החבילה עבור UBUNTU

הוסף את ה- PPA הבא לרשימת מקורות החבילה על ידי הפעלת הפקודה למטה מתוך קונסולה:

sudo add-apt-repository ppa: failshell / stable

שלב 3: עדכן את רשימות ה- APP

הפעל את הפקודה הבאה לעדכון מסד הנתונים של מקורות PPA במערכת שלך:

עדכון sudo apt-get

שלב 4: התקן את המודול עבור ה- PAM (מודול אימות Pluggable)

בצע את הפקודה המצורפת, זה יתקין שני קבצים במערכת שלך כדי ליצור אימות דו שלבי: /lib/security/pam_google_authenticator.so ו / usr / bin / google-authenticator.

sudo apt-get התקן את libpam-google-authenticator

שלב 5: הגדר את חשבון הגישה

כעת יש צורך לבצע את הפקודה «מאמת גוגל» מהקונסולה כדי להגדיר את החשבון ממנו נכנסת. לאחר ביצוע הפקודה, קוד QR יופיע על המסך. עליך להשתמש ביישום (Google Authenticator) שהותקן זה עתה בנייד שלך כדי שתוכל להשיג את קודי האימות המשויכים לכניסה שלך.

אני ממליץ לעשות "מסך הדפסה" או צילום מסך של קוד ה- QR כדי שתוכלו לשייך מאוחר יותר מכשירים אחרים.

שלב 6: הגדר את ה- PAM לשימוש באימות דו-גורמי.

פתח מסוף והוסף את השורה הבאה לקובץ /etc/pam.d/sudo, השתמש ב- sudo vi או sudo gvim כדי לבצע את השינוי:

auth נדרש pam_google_authenticator.so
הערה: רצוי להשאיר את ההפעלה הנוכחית פתוחה מכיוון שאם טעית בתצורה תוכל להפוך את כל השינויים.

פתח מסוף חדש והפעל:

סודו לס

המערכת תבקש את הסיסמה ואז את הבקשה ל"קוד אימות: ". הזן את הספרות שנצפו ביישום המאמת של Google בנייד שלך.

יהיו לך כשלוש דקות משינוי קוד המספר. לא משנה אם מספר הקוד ישתנה, הוא יישאר פעיל למשך שתי דקות נוספות.

אם הכל מסתדר כשורה, ערוך את הקובץ /etc/pam.d/sudo שוב, הסר את השורה שהוספת "auth required pam_google_authenticator.so", שמור ויצא.

עכשיו כדי להשיג את ההגנה הטובה ביותר מיושם אימות דו-שלבי הוסף עם sudo vi, sudo gvim או כל עורך אחר שאתה מעדיף, אך תמיד עם sudo את השורה «auth required pam_google_authenticator.so» לקובץ «/etc/pam.d/auth »ומעתה כל אימות ידרוש אימות כפול.

אם אתה רוצה להיות פחות מגביל אתה יכול להשתמש בכל קובץ אחר בספריה /etc/pam.d, תלוי מהם צרכי האבטחה שלך.


7 תגובות, השאר את שלך

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   Daniel דיג'ו

    ה- PPA לא עובד בשבילי ב- Mint XFCE.
    אני מניח שנצטרך לחכות כמה ימים עד שהוא יהיה זמין להפצה הזו.

  2.   בואו נשתמש בלינוקס דיג'ו

    ובכן, במקרה שלך, אני מבין שזה יהיה קליל.
    כשמדובר ב"התעסקות ", זהו ... מישהו עם מעט ידע טכני ויודע איזה קובץ לחפש יכול לעקוף את מה שנראה כמערכת אבטחה מורכבת יותר. זאת, כל עוד לאותו אדם יש גישה פיזית למחשב שלך. לכן, מערכת זו שימושית באמת במקרים בהם מתבצעות התחברות מרחוק, כגון בעת ​​שימוש ב- sshd.
    לחיים! פול.

  3.   גיירמו דיג'ו

    בתיקיית pam.d שלי יש:

    /etc/pam.d/lightdm
    /etc/pam.d/kdm

    (אני משתמש באובונטו 12.04 והתקנתי את KDE, למרות ששולחן העבודה שלי הוא Gnome 3.4)

    אבל כשמוסיפים את ההרשאה זה לא מאפשר לי להיכנס, זה אומר לי: "שגיאה קריטית", הייתי צריך להשאיר אותם כמו שהיו מהטרמינל ב"מצב התאוששות "

    השאר לגבי sshd לא ברור לי במיוחד, אך המלצה להפוך את המערכת לאבטחה יותר ופחות "בלתי ניתנת לפגיעה" תהיה שימושית מאוד. אני משתמש בלינוקס במשך כ -3 שנים בין סיבות רבות לחוסנותו וביטחונו ותמיד אני מחפש דרך להקשות על הכל, להוסיף שכבות וביטחון, שכן אמרתי "טיפ" כיצד להשתמש נכון באימות דו-שלבי באובונטו יהיה מצוין. . =)

  4.   בואו נשתמש בלינוקס דיג'ו

    תלוי במערכת בה אתה משתמש, זו תהיה אחת מהאפשרויות הבאות:
    /etc/pam.d/gdm
    /etc/pam.d/lightdm
    /etc/pam.d/kdm
    /etc/pam.d/lxdm
    וכו '

    כמו כן, הרשו לי להבהיר כי הגיוני יותר להשתמש בו עם sshd, למשל, מאשר עם הכניסה למחשב. מהסיבה הפשוטה שהמפתח הסודי נשמר בתיקיה בביתך, כך שמי שיש לו גישה למחשב שלך יכול להתחיל מ- livecd, להעתיק את המפתח וליצור זוג אסימונים משלו. כן, נכון שזה "מקשה על העניינים" אבל זו לא מערכת בלתי ניתנת לפגיעה ... למרות שהיא מגניבה מאוד.

    אותה בעיה לא הייתה קיימת בתהליכים הדורשים כניסה מרחוק, כמו sshd.

    לחיים! פול.

  5.   גיירמו דיג'ו

    בסדר, זהו, אם אני רק רוצה להפעיל את האימות בשני שלבים עבור הכניסה לאיזה קובץ אני מוסיף "auth required pam_google_authenticator.so" ב- pam.d?

    תודה משאב מצוין!

  6.   KEOS דיג'ו

    אם זה עובד, יש לי 12.04 והוספתי PPA repos

  7.   גיירמו דיג'ו

    PPA לא עובד על אובונטו 12.04 יש פתרונות?

    לחיים