Dwuetapowy dostęp użytkownika do Ubuntu za pomocą Google Authenticator

Ostatnio Google uruchomił uwierzytelnianie dwuetapowe w przypadku systemu poczty e-mail jest to w zasadzie aplikacja do generowania 6-cyfrowego kodu w telefonie komórkowym, która umożliwia podwójną weryfikację dostępu do wiadomości e-mail w bezpieczniejszy sposób, poprzez losowy kod numeryczny zmieniający się co minutę które należy wprowadzić po wprowadzeniu zwykłego hasła. może to być również podwójna weryfikacja wdrożone w Ubuntu do uwierzytelniania wpisu użytkownika w dwóch krokach, narzędzie, które powstrzyma ciekawskich przed dostępem do komputera, nawet jeśli znają Twoje główne hasło.

To wkład Jairo J. Rodrigueza, stając się tym samym jednym ze zwycięzców naszego cotygodniowego konkursu: «Podziel się swoją wiedzą o Linuksie«. Gratulacje Jairo!

Oto mały samouczek dotyczący wykonania tej implementacji:

Krok 1: Zainstaluj Google Authenticator na swoim telefonie komórkowym

Pobierz aplikację Google Authenticator na swój telefon komórkowy. Dla użytkowników Androida zostawiam tutaj następujący link:

Aplikacja dostępna jest również dla telefonów Iphone i Blackberry.

Krok 2: Pobierz pakiet dla UBUNTU

Dodaj następujący PPA do listy źródeł pakietów, uruchamiając poniższe polecenie z konsoli:

sudo add-apt-repository ppa: failhell / stable

Krok 3: Zaktualizuj listy aplikacji

Uruchom następującą komendę, aby zaktualizować bazę danych źródeł PPA w systemie:

sudo apt-get update

Krok 4: Zainstaluj moduł dla PAM (Pluggable Authentication Module)

Wykonaj załączone polecenie, co spowoduje zainstalowanie w systemie dwóch plików w celu ustanowienia uwierzytelniania dwuetapowego: /lib/security/pam_google_authenticator.so i / usr / bin / google-Authenticator.

sudo apt-get install libpam-google-Authenticator

Krok 5: Skonfiguruj konto dostępu

Teraz konieczne jest wykonanie polecenia «Google-Authenticator» z konsoli, aby skonfigurować konto, z którego się zalogowałeś. Po wykonaniu polecenia na ekranie pojawi się kod QR. Musisz użyć aplikacji (Google Authenticator) właśnie zainstalowanej na telefonie komórkowym, aby móc uzyskać kody uwierzytelniające powiązane z Twoim loginem.

Zalecam wykonanie „print screen” lub zrzutu ekranu z kodem QR, aby móc później powiązać inne urządzenia.

Krok 6: Skonfiguruj PAM do korzystania z uwierzytelniania dwuskładnikowego.

Otwórz terminal i dodaj następujący wiersz do pliku /etc/pam.d/sudo, użyj sudo vi lub sudo gvim, aby dokonać zmiany:

wymagane uwierzytelnienie pam_google_authenticator.so
Uwaga: Zaleca się pozostawienie otwartej bieżącej sesji, ponieważ jeśli popełnisz błąd w konfiguracji, będziesz mógł cofnąć wszystkie zmiany.

Otwórz nowy terminal i uruchom:

sudo ls

System zapyta o hasło, a następnie zapyta o «Kod weryfikacyjny:». Wprowadź obserwowane cyfry w aplikacji Google Authenticator na telefonie komórkowym.

Od zmiany kodu numeru masz około trzech minut. Niezależnie od tego, czy numer kodu się zmieni, pozostanie on aktywny przez dodatkowe dwie minuty.

Jeśli wszystko pójdzie dobrze, ponownie wyedytuj plik /etc/pam.d/sudo, usuwając dodaną linię „uwierzytelnianie wymagane pam_google_authenticator.so”, zapisz i zakończ.

Teraz, aby uzyskać najlepszą ochronę zaimplementowaną, dwuetapową weryfikację dodaj za pomocą sudo vi, sudo gvim lub dowolnego innego preferowanego edytora, ale zawsze z sudo wiersz «auth required pam_google_authenticator.so» do pliku «/etc/pam.d/ auth »Od teraz każda weryfikacja będzie wymagać podwójnego uwierzytelnienia.

Jeśli chcesz być mniej restrykcyjny, możesz użyć dowolnego innego pliku w katalogu /etc/pam.d, w zależności od Twoich potrzeb w zakresie bezpieczeństwa.


Treść artykułu jest zgodna z naszymi zasadami etyka redakcyjna. Aby zgłosić błąd, kliknij tutaj.

7 komentarzy, zostaw swoje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   Daniel powiedział

    PPA nie działa dla mnie w Mint XFCE.
    Myślę, że będziemy musieli poczekać kilka dni, zanim będzie dostępny w tej dystrybucji.

  2.   Użyjmy Linuksa powiedział

    Cóż, w twoim przypadku rozumiem, że byłoby to lightdm.
    Jeśli chodzi o „manipulowanie”, to wszystko… ktoś z niewielką wiedzą techniczną i kto wie, jakiego pliku szukać, może ominąć coś, co wygląda na bardziej skomplikowany system bezpieczeństwa. To, o ile ta osoba ma fizyczny dostęp do Twojego komputera. Dlatego ten system jest naprawdę przydatny w przypadkach, w których wykonywane są zdalne logowanie, na przykład podczas korzystania z sshd.
    Twoje zdrowie! Paweł.

  3.   Guillermo powiedział

    W moim folderze pam.d znajdują się:

    /etc/pam.d/lightdm
    /etc/pam.d/kdm

    (Używam Ubuntu 12.04 i mam zainstalowane KDE, mimo że mój pulpit to Gnome 3.4)

    Ale po dodaniu autoryzacji nie pozwala mi się zalogować, mówi mi: "błąd krytyczny", musiałem je zostawić tak, jak były z terminala w "Trybie odzyskiwania"

    Reszta dotycząca sshd nie jest dla mnie zbyt jasna, ale zalecenie, aby naprawdę uczynić system bezpieczniejszym i mniej „nienaruszalnym” byłoby dla mnie bardzo przydatne. Używam Linuksa przez około 3 lata, między innymi z wielu powodów jego solidności i bezpieczeństwa, i zawsze szukam sposobu, aby wszystko utrudnić, dodać warstwy i zabezpieczenia, tak jak powiedziałem „WSKAZÓWKA”, jak prawidłowo korzystać z weryfikacji dwuetapowej w Ubuntu byłoby doskonałe. =)

  4.   Użyjmy Linuksa powiedział

    W zależności od używanego systemu byłaby to jedna z następujących opcji:
    /etc/pam.d/gdm
    /etc/pam.d/lightdm
    /etc/pam.d/kdm
    /etc/pam.d/lxdm
    itd.

    Pozwólcie, że wyjaśnię również, że bardziej sensowne jest używanie go na przykład z sshd niż z logowaniem do komputera. Z tego prostego powodu, że tajny klucz jest zapisywany w folderze w Twoim domu, aby ktoś, kto ma dostęp do Twojego komputera, mógł rozpocząć od livecd, skopiować klucz i wygenerować własną parę tokenów. Tak, to prawda, że ​​to „utrudnia”, ale nie jest to system nienaruszalny… chociaż jest bardzo fajny.

    Ten sam problem nie występowałby w przypadku procesów wymagających zdalnego logowania, takich jak sshd.

    Twoje zdrowie! Paweł.

  5.   Guillermo powiedział

    Ok, to wszystko, jeśli chcę tylko aktywować weryfikację w dwóch krokach dla logowania do którego pliku mam dodać „auth required pam_google_authenticator.so” w pam.d?

    Dzięki Doskonały zasób!

  6.   KEOS powiedział

    jeśli to działa to mam 12.04 i dodałem repozytoria PPA

  7.   Guillermo powiedział

    PPA nie działa na Ubuntu 12.04 Jakieś rozwiązania?

    Twoje zdrowie