recientemente 谷歌 推出了 兩步認證 對於您的電子郵件系統,它基本上是手機上的6位代碼生成應用程序,通過使用隨機數字代碼(以一分鐘的速率更改),您可以進行兩次驗證以更安全的方式訪問電子郵件。輸入常規密碼後必須輸入該密碼。 在Ubuntu中實現 通過兩步來驗證用戶輸入的身份,這是一個即使您知道主密碼也能使您避免好奇的工具。 |
這是執行此實現的小教程:
步驟1:在手機上安裝Google Authenticator
在您的手機上下載Google Authenticator。 對於Android用戶,我在此處保留以下鏈接:
該應用程序還適用於Iphone和Blackberry。
步驟2:下載UBUNTU的軟件包
通過從控制台運行以下命令,將以下PPA添加到軟件包來源列表中:
sudo add-apt-repository ppa:failshell /穩定
步驟3:更新APP清單
運行以下命令以更新系統上的PPA源數據庫:
命令和apt-get update更新
步驟4:安裝用於PAM的模塊(可插入身份驗證模塊)
執行附帶的命令,這將在系統上安裝兩個文件以建立兩步身份驗證:/lib/security/pam_google_authenticator.so和/ usr / bin / google-authenticator。
須藤apt-get install libpam-google-authenticator
步驟5:配置訪問帳戶
現在,需要從控制台執行命令«google-authenticator»來配置您登錄的帳戶。 執行命令後,屏幕上將顯示QR碼。 您必須使用剛安裝在手機上的應用程序(Google身份驗證器)才能獲取與您的登錄名關聯的身份驗證代碼。
我建議做一個“打印屏幕”或QR碼的屏幕截圖,以便以後可以關聯其他設備。
步驟6:將PAM配置為使用兩因素身份驗證。
打開一個終端,將以下行添加到/etc/pam.d/sudo文件中,並使用sudo vi或sudo gvim進行更改:
需要驗證pam_google_authenticator.so
打開一個新終端並運行:
蘇多
系統將要求輸入密碼,然後要求輸入“驗證碼:”。 在您的手機的Google身份驗證器應用程序中輸入觀察到的數字。
更改號碼代碼大約需要三分鐘。 無論代碼號是否更改,它都會保持活動狀態另外兩分鐘。
如果一切順利,請再次編輯文件/etc/pam.d/sudo,刪除添加的行“ auth required pam_google_authenticator.so”,保存並退出。
現在,要獲得實現的最佳保護,可以使用sudo vi,sudo gvim或您喜歡的任何其他編輯器進行兩步驗證,但始終使用sudo將«auth required pam_google_authenticator.so»行添加到文件«/etc/pam.d/中。 auth»從現在開始,任何驗證都需要雙重驗證。
如果希望減少限制,則可以使用/etc/pam.d目錄中的任何其他文件,具體取決於您的安全需求。
PPA在Mint XFCE中對我不起作用。
我猜我們將不得不等待幾天才能將其用於此發行版。
好吧,就您而言,我知道那將是lightdm。
當涉及到“篡改”時,就是這樣……技術知識很少,知道要查找什麼文件的人可以繞過看起來更複雜的安全系統。 只要該人對您的計算機具有物理訪問權限即可。 因此,該系統在執行遠程登錄的情況下(例如在使用sshd時)非常有用。
乾杯! 保羅
在我的pam.d文件夾中:
/etc/pam.d/lightdm
/etc/pam.d/kdm
(即使我的桌面是Gnome 12.04,我也使用Ubuntu 3.4並安裝了KDE)
但是在添加授權時,它不允許我登錄,它告訴我:“嚴重錯誤”,我不得不將它們保留在“恢復模式”下,就像從終端一樣
剩下的關於sshd的內容對我來說還不是很清楚,但是提出一個真正使系統更安全,更少“不可侵犯”的建議將非常有用。 我使用Linux大約有3年之久,其中有很多原因使其具有魯棒性和安全性,我一直在尋找一種使一切變得更加困難,增加層和安全性的方法,正如我在“如何正確使用兩步驗證”中提到的“提示” Ubuntu會很棒。 =)
根據您使用的系統,它將是以下選項之一:
/etc/pam.d/gdm
/etc/pam.d/lightdm
/etc/pam.d/kdm
/etc/pam.d/lxdm
等。
另外,讓我澄清一下,例如,將它與sshd一起使用比與計算機登錄一起使用更有意義。 出於簡單的原因,秘密密鑰存儲在您家中的文件夾中,以便可以訪問您計算機的人可以從livecd開始,複製密鑰並生成自己的令牌對。 是的,它確實“使事情變得更加困難”,但這並不是一個不可侵犯的系統……儘管它非常酷。
對於需要遠程登錄的進程(如sshd),不會存在相同的問題。
乾杯! 保羅
好的,就是這樣,如果我只想通過兩步激活驗證以登錄到哪個文件,我應該在pam.d中添加“ auth required pam_google_authenticator.so”嗎?
謝謝優秀的資源!
如果有效,我有12.04,並且添加了回購PPA
PPA無法在Ubuntu 12.04上運行任何解決方案?
乾杯