Ezt a folyamatot az Ubuntu 14.04-es verziója a szabványos Unity asztali és LightDM bejelentkezési kezelővel végezte el, de az alapelvek megegyeznek a legtöbb Linux disztribúcióban és asztali számítógépen.
Korábban bemutattuk, hogyan kell a Google Hitelesítőt távoli hozzáféréshez az SSH-n keresztül, és ez a folyamat hasonló. Ez nem igényli a Google Hitelesítő alkalmazást, de olyan TOTP-hitelesítési rendszert alkalmazó kompatibilis alkalmazásokkal működik együtt, beleértve az Authy-ot is.
Telepítse a Google Hitelesítő PAM-t
Ahogy ez az SSH eléréshez, először telepíteni kell a megfelelő PAM ("pluggable-authentication module") szoftvert. A PAM egy olyan rendszer, amely lehetővé teszi számunkra, hogy különböző típusú hitelesítési módszereket csatlakoztassunk egy Linux rendszerbe és megkívánjuk őket.
Az Ubuntuban a következő parancs telepíti a Google Hitelesítő PAM-t. Nyisson meg egy terminál ablakot, írja be a következő parancsot, nyomja meg az Enter billentyűt, és adja meg jelszavát. A rendszer letölti a PAM-ot a Linux disztribúció szoftver-adattára és telepíti azt:
sudo apt-get install libpam-google-authenticator
Amint korábban rámutattunk, ez a megoldás nem függ a "telefonhívás" a Google szervereitől. Végrehajtja a szabványos TOTP algoritmust, és akkor is használható, ha a számítógép nem rendelkezik internetkapcsolattal.
Hozzon létre hitelesítési kulcsokat
Most létre kell hoznia egy titkos hitelesítési kulcsot, és be kell írnia a Google Hitelesítő alkalmazásba (vagy hasonló) a telefonján. Először jelentkezzen be felhasználói fiókként a Linux rendszerében. Nyisson meg egy terminál ablakot, és futtassa a google-hitelesítő parancs. típus y és kövesse a kérdéseket itt. Ez létrehoz egy speciális fájlt az aktuális felhasználói fiók könyvtárában a Google Hitelesítő információkkal.
Ügyeljen arra, hogy jegyezze fel a sürgősségi karcolások kódjait, amelyeket használhat a bejelentkezéshez, ha elveszíti a telefont.
Hitelesítés aktiválása
Itt van, ahol a dolgok egy kicsit sugárzik. Amikor kifejtettük, hogyan engedélyezzük az SSH bejelentkezési két tényező használatát, csak SSH bejelentkezésekre volt szükségünk. Ez biztosította, hogy továbbra is bejelentkezhet a helyszínen, ha elvesztette a hitelesítési alkalmazást, vagy valami hibás.
Mivel a helyi bejelentkezésekhez engedélyezzük a kétütemű hitelesítést, lehetséges problémák merülnek fel. Ha valami rosszul működik, előfordulhat, hogy nem tud bejelentkezni. Ha figyelembe vesszük ezt, akkor csak a grafikus bejelentkezések engedélyezésével járunk. Ez egy menekülési nyílás, ha szüksége van rá.
Engedélyezze a Google Hitelesítőt a grafikus bejelentkezésekhez az Ubuntuban
Mindig engedélyezheti a kétlépcsős azonosítást csak a grafikus bejelentkezéseknél, figyelmen kívül hagyva a követelményt, amikor bejelentkezik a szöveges üzenetből. Ez azt jelenti, hogy könnyen átválthat egy virtuális terminálra, jelentkezhet be, és visszaállíthatja a módosításokat, így a Gogole Authenciator nem lenne szükséges, ha problémát tapasztal.
Persze, ez nyit egy lyukat a hitelesítési rendszerben, de egy támadó, akinek fizikai hozzáférése van a rendszeredhez, máris kihasználhatja. Ezért a kétütemű hitelesítés különösen hatékony az SSH-n keresztül történő távoli bejelentkezéshez.
Az Ubuntu esetében ez a következő lépés: a LightDM login manager. Nyissa meg a LightDM fájlt szerkesztésre az alábbi parancsokkal:
sudo gedit /etc/pam.d/lightdm
(Ne felejtsük el, hogy ezek a lépések csak akkor működnek, ha a Linux disztribúció és az asztali számítógép a LightDM bejelentkező kezelőjét használja.)
auth required pam_google_authenticator.so nullok
A "nullok" bit a végén azt mondja a rendszernek, hogy hagyja a felhasználó bejelentkezni még akkor is, ha nem futtatta a google-hitelesítő parancsot a kétütemű hitelesítés beállításához. Ha létrehozták őket, akkor be kell írnia az időkódot kódot - különben nem. Távolítsa el a "nullok" és a felhasználói fiókokat, akik nem állítottak be Google Hitelesítő kódot, csak akkor fognak grafikusan bejelentkezni.
Ha otthoni címtár titkosítást használ
Az Ubuntu régebbi verziói könnyű "home folder encryption" opciót kínáltak, amely titkosította az egész könyvtárat, amíg meg nem adta a jelszavát. Pontosabban, ez az ecryptf-eket használja. Mivel azonban a PAM szoftver alapértelmezés szerint a saját könyvtárában tárolt Google Hitelesítő fájltól függ, a titkosítás megzavarja a PAM-ot, hogy olvassa el a fájlt, hacsak nem győződjön meg róla, hogy titkosítatlan formában elérhető a rendszerbe a bejelentkezés előtt. a probléma elkerülésére vonatkozó információ, ha még mindig az elavult otthoni címtár titkosítási lehetőségeit használja.
Az Ubuntu modern verziói teljes lemezes titkosítást kínálnak, amely a fenti beállításokkal jól működik. Nem kell semmi különlegeset tennie
Segítség, Megtört!
Mivel csak ezt engedélyeztük a grafikus bejelentkezéshez, könnyű letiltani, ha problémát okoz. Nyomja meg a Ctrl + Alt + F2 billentyűkombinációt a virtuális terminál eléréséhez, és jelentkezzen be felhasználónévjével és jelszavával. Ezután használhatsz egy parancsot, mint a sudo nano /etc/pam.d/lightdm, hogy megnyissa a fájlt a szerkesztéshez egy terminálszövegszerkesztőben. Használja a Nano útmutatót a vonal eltávolításához és a fájl mentéséhez, és újra be tud jelentkezni.
A PAM modul használatára és beállítására vonatkozó további dokumentáció megtalálható a GitHub szoftver README fájljában.