Linux е известен с това, че изисква парола, за да направи нещо с основната система. Поради това мнозина смятат Linux за малко по-сигурен от повечето операционни системи (макар и по никакъв начин не идеален). Да имате силна парола и добра sudoer политика е страхотно, но не е сигурно и понякога не е достатъчно, за да ви защити. Ето защо мнозина в областта на сигурността са използвали двуфакторна автентификация в Linux
В тази статия ще разгледаме как да активирате двуфакторно удостоверяване на Linux с помощта на Google Authenticator.
Съдържание
Инсталация
Използването на Google Authenticator е възможно благодарение на a пам плъгин. Използвайте този плъгин с GDM (и други настолни мениджъри, които го поддържат). Ето как да го инсталирате на вашия компютър с Linux.
Забележка: Преди да настроите този плъгин на вашия компютър с Linux, моля, отидете на Google Play Store (или) Apple App Store и изтеглете Google Authenticator, тъй като той е ключова част от този урок.
Ubuntu
sudo apt install libpam-google-authenticator
Debian
sudo apt-get install libpam-google-authenticator
Arch Linux
Arch Linux не поддържа модула за удостоверяване на pam Google по подразбиране. Вместо това потребителите ще трябва да вземат и компилират модула чрез AUR пакет. Изтеглете най-новата версия на PKGBUILD или насочете любимия си AUR помощник към него, за да работи.
Fedora
sudo dnf install google-authenticator
OpenSUSE
sudo zypper install google-authenticator-libpam
Други Linux
Изходният код за Linux версията на Google Authenticator, както и плъгинът libpam, използван в това ръководство, е лесно достъпен в Github. Ако използвате нетрадиционна Linux дистрибуция, главата насам и следвайте инструкциите на страницата. Инструкциите могат да ви помогнат да го компилирате от източник.
Настройте Google Authenticator на Linux
Конфигурационен файл се нуждае от редактиране, преди pam да работи с приставката за удостоверяване на Google. За да промените този конфигурационен файл, отворете прозорец на терминала. Вътре в терминала стартирайте:
sudo nano /etc/pam.d/common-auth
Вътре във файла common-auth има много за разглеждане. Много коментари и бележки за това как системата трябва да използва настройките за удостоверяване между услугите на Linux. Игнорирайте всичко това във файла и превъртете надолу до „# тук са модулите за пакет („Основният“ блок)“. Преместете курсора под него с клавиша със стрелка надолу и натиснете enter, за да направите нов ред. След това напишете това:
auth required pam_google_authenticator.so
След като изпишете този нов ред, натиснете CTRL + O, за да запазите редакцията. След това натиснете CTRL + X, за да излезете от Nano.
След това се върнете към терминала и въведете „google-authenticator“. След това ще бъдете помолени да отговорите на някои въпроси.
Първият въпрос, който Google Authenticator задава е „Искате ли токените за удостоверяване да бъдат базирани на времето“. Отговорете с „да“, като натиснете y на клавиатурата.
След като отговори на този въпрос, инструментът ще отпечата нов таен ключ, заедно с някои кодове за спешни случаи. Запишете този код, тъй като е важен.
Продължете и отговорете на следващите три въпроса с „да“, последвано от „не“ и „не“.
Последният въпрос, който задава удостоверителят, е свързан с ограничаването на скоростта. Тази настройка, когато е активирана, прави така, че Google Authenticator ще позволява само 3 опита/неуспешни опита на всеки 30 секунди. От съображения за сигурност ви препоръчваме да отговорите с „да“, но е напълно нормално да отговорите „не“, ако ограничаването на скоростта не е нещо, което ви интересува.
Конфигуриране на Google Authenticator
Линукс страната на нещата работи. Сега е време да конфигурирате приложението Google Authenticator, така че да работи с новата настройка. За да започнете, отворете приложението и изберете опцията „въведете предоставен ключ“. Това извежда зоната „въведете данни за акаунта“.
В тази област трябва да попълните две неща: името на компютъра, с който използвате удостоверител, както и секретния ключ, който сте записали по-рано. Попълнете и двете и Google Authenticator ще работи.
Влизане
Настроихте Google Authenticator на Linux, както и вашето мобилно устройство и всичко работи заедно, както трябва. За да влезете, изберете потребителя в GDM (или LightDM и т.н.). Веднага след като изберете потребителя, вашата операционна система ще поиска код за удостоверяване. Отворете мобилното си устройство, отидете на Google Authenticator и въведете кода, който се показва в мениджъра за вход.
Ако кодът е успешен, тогава ще можете да въведете паролата на потребителя.
Забележка: настройката на Google Authenticator на Linux не засяга само мениджъра за влизане. Вместо това, всеки път, когато потребителят се опитва да получи root достъп, достъп до sudo привилегии или да направи нещо, което изисква парола, се изисква код за удостоверяване.
Заключение
Наличието на двуфакторно удостоверяване, директно свързано към работния плот на Linux, добавя допълнителен слой сигурност, който трябва да бъде там по подразбиране. Когато това е активирано, е много по-трудно да получите достъп до нечия система.
Два фактора могат да бъдат неудобни понякога (например, ако сте твърде бавен за удостоверителя), но като цяло това е добре дошло допълнение към всеки Linux мениджър на работния плот.