Το Linux είναι γνωστό ότι απαιτεί κωδικό πρόσβασης για να κάνει οτιδήποτε στο βασικό σύστημα. Εξαιτίας αυτού, πολλοί θεωρούν ότι το Linux είναι λίγο πιο ασφαλές από τα περισσότερα λειτουργικά συστήματα (αν και όχι τέλειο σε καμία περίπτωση). Το να έχετε έναν ισχυρό κωδικό πρόσβασης και μια καλή πολιτική sudoer είναι υπέροχο, αλλά δεν είναι ανόητο και μερικές φορές δεν αρκεί για να σας προστατεύσει. Αυτός είναι ο λόγος για τον οποίο πολλοί στον τομέα της ασφάλειας έχουν αρχίσει να χρησιμοποιούν έλεγχο ταυτότητας δύο παραγόντων στο Linux
Σε αυτό το άρθρο, θα δούμε πώς να ενεργοποιήσετε τον έλεγχο ταυτότητας δύο παραγόντων στο Linux χρησιμοποιώντας τον Επαληθευτή Google.
Πίνακας περιεχομένων
Εγκατάσταση
Η χρήση του Google Authenticator είναι δυνατή, χάρη στο α παμ συνδέω. Χρησιμοποιήστε αυτήν την προσθήκη με το GDM (και άλλους διαχειριστές επιτραπέζιων υπολογιστών που το υποστηρίζουν). Δείτε πώς να το εγκαταστήσετε στον υπολογιστή σας Linux.
Σημείωση: Πριν ρυθμίσετε αυτήν την προσθήκη στον υπολογιστή σας Linux, μεταβείτε στο Google Play Store (ή) Apple App Store και κατεβάστε το Google Authenticator, καθώς αποτελεί βασικό μέρος αυτού του σεμιναρίου.
Ubuntu
sudo apt install libpam-google-authenticator
Debian
sudo apt-get install libpam-google-authenticator
Arch Linux
Το Arch Linux δεν υποστηρίζει από προεπιλογή τη λειτουργική μονάδα ελέγχου ταυτότητας Google pam. Αντίθετα, οι χρήστες θα πρέπει να αρπάξουν και να μεταγλωττίσουν τη μονάδα μέσω ενός πακέτου AUR. Κατεβάστε την πιο πρόσφατη έκδοση του PKGBUILD ή κατευθύνετε τον αγαπημένο σας βοηθό AUR για να λειτουργήσει.
Μαλακό καπέλλο
sudo dnf install google-authenticator
OpenSUSE
sudo zypper install google-authenticator-libpam
Άλλα Linux
Ο πηγαίος κώδικας για την έκδοση Linux του Google Authenticator, καθώς και η προσθήκη libpam που χρησιμοποιείται σε αυτόν τον οδηγό είναι άμεσα διαθέσιμα στο Github. Εάν χρησιμοποιείτε μια μη παραδοσιακή διανομή Linux, κατευθυνθείτε εδώ και ακολουθήστε τις οδηγίες στη σελίδα. Οι οδηγίες μπορούν να σας βοηθήσουν να το μεταγλωττίσετε από την πηγή.
Ρύθμιση του Google Authenticator σε Linux
Ένα αρχείο διαμόρφωσης χρειάζεται επεξεργασία πριν το pam λειτουργήσει με την προσθήκη ελέγχου ταυτότητας Google. Για να τροποποιήσετε αυτό το αρχείο διαμόρφωσης, ανοίξτε ένα παράθυρο τερματικού. Μέσα στο τερματικό, εκτελέστε:
sudo nano /etc/pam.d/common-auth
Μέσα στο αρχείο κοινής ταυτότητας, υπάρχουν πολλά να δούμε. Πολλά σχόλια και σημειώσεις για το πώς το σύστημα πρέπει να χρησιμοποιεί τις ρυθμίσεις ελέγχου ταυτότητας μεταξύ των υπηρεσιών στο Linux. Αγνοήστε όλα αυτά στο αρχείο και πραγματοποιήστε κύλιση μέχρι κάτω στο “# εδώ είναι οι μονάδες ανά πακέτο (το μπλοκ “Κύριο”)”. Μετακινήστε τον κέρσορα κάτω από αυτόν με το πλήκτρο κάτω βέλους και πατήστε enter για να δημιουργήσετε μια νέα γραμμή. Τότε γράψε αυτό:
auth required pam_google_authenticator.so
Αφού γράψετε αυτή τη νέα γραμμή, πατήστε CTRL + O για να αποθηκεύσετε την επεξεργασία. Στη συνέχεια, πατήστε CTRL + X για έξοδο από το Nano.
Στη συνέχεια, επιστρέψτε στο τερματικό και πληκτρολογήστε “google-authenticator”. Στη συνέχεια, θα σας ζητηθεί να απαντήσετε σε ορισμένες ερωτήσεις.
Η πρώτη ερώτηση που θέτει το Google Authenticator είναι «Θέλετε τα διακριτικά ελέγχου ταυτότητας να βασίζονται στο χρόνο». Απαντήστε «ναι» πατώντας το y στο πληκτρολόγιο.
Αφού απαντήσει σε αυτήν την ερώτηση, το εργαλείο θα εκτυπώσει ένα νέο μυστικό κλειδί, μαζί με ορισμένους κωδικούς έκτακτης ανάγκης. Γράψτε αυτούς τους κωδικούς, καθώς είναι σημαντικός.
Συνεχίστε και απαντήστε στις επόμενες τρεις ερωτήσεις ως «ναι», ακολουθούμενες από «όχι» και «όχι».
Η τελευταία ερώτηση που κάνει ο έλεγχος ταυτότητας έχει να κάνει με τον περιορισμό ρυθμών. Αυτή η ρύθμιση, όταν είναι ενεργοποιημένη, το καθιστά έτσι ώστε ο Επαληθευτής Google να επιτρέπει μόνο 3 προσπάθειες δοκιμής/αποτυχίας κάθε 30 δευτερόλεπτα. Για λόγους ασφαλείας, σας συνιστούμε να απαντήσετε ναι σε αυτό, αλλά είναι απολύτως εντάξει να απαντήσετε όχι εάν ο περιορισμός των τιμών δεν είναι κάτι που σας ενδιαφέρει.
Διαμόρφωση του Επαληθευτή Google
Η πλευρά του Linux λειτουργεί. Τώρα είναι ώρα να διαμορφώσετε την εφαρμογή Επαληθευτής Google έτσι ώστε να λειτουργεί με τη νέα ρύθμιση. Για να ξεκινήσετε, ανοίξτε την εφαρμογή και επιλέξτε την επιλογή «εισαγωγή παρεχόμενου κλειδιού». Αυτό εμφανίζει μια περιοχή “εισαγωγή στοιχείων λογαριασμού”.
Σε αυτήν την περιοχή, υπάρχουν δύο πράγματα που πρέπει να συμπληρώσετε: το όνομα του υπολογιστή με τον οποίο χρησιμοποιείτε τον έλεγχο ταυτότητας, καθώς και το μυστικό κλειδί που σημειώσατε νωρίτερα. Συμπληρώστε και τα δύο και το Google Authenticator θα είναι λειτουργικό.
Σύνδεση
Έχετε ρυθμίσει τον Επαληθευτή Google σε Linux, καθώς και την κινητή συσκευή σας και όλα λειτουργούν μαζί όπως θα έπρεπε. Για να συνδεθείτε, επιλέξτε τον χρήστη στο GDM (ή LightDM κλπ). Αμέσως μετά την επιλογή του χρήστη, το λειτουργικό σας σύστημα θα ζητήσει έναν κωδικό ελέγχου ταυτότητας. Ανοίξτε την κινητή συσκευή σας, μεταβείτε στον Επαληθευτή Google και εισαγάγετε τον κωδικό που εμφανίζεται στον διαχειριστή σύνδεσης.
Εάν ο κωδικός είναι επιτυχής, τότε θα μπορείτε να εισαγάγετε τον κωδικό πρόσβασης του χρήστη.
Σημείωση: η ρύθμιση του Επαληθευτή Google σε Linux δεν επηρεάζει μόνο τον διαχειριστή σύνδεσης. Αντίθετα, κάθε φορά που ένας χρήστης προσπαθεί να αποκτήσει πρόσβαση root, να έχει πρόσβαση σε δικαιώματα sudo ή να κάνει οτιδήποτε απαιτεί κωδικό πρόσβασης, απαιτείται ένας κωδικός ελέγχου ταυτότητας.
συμπέρασμα
Έχοντας τον έλεγχο ταυτότητας δύο παραγόντων απευθείας συνδεδεμένο με την επιφάνεια εργασίας Linux προσθέτει ένα επιπλέον επίπεδο ασφάλειας που θα πρέπει να υπάρχει από προεπιλογή. Με αυτό το ενεργοποιημένο, είναι πολύ πιο δύσκολο να αποκτήσετε πρόσβαση στο σύστημα κάποιου.
Δύο παράγοντες μπορεί να είναι ενοχλητικοί κατά καιρούς (όπως αν είστε πολύ αργοί για τον έλεγχο ταυτότητας), αλλά συνολικά είναι μια ευπρόσδεκτη προσθήκη σε οποιονδήποτε διαχειριστή επιτραπέζιου υπολογιστή Linux.