Šis process tika veikts Ubuntu 14.04 ar standarta Unity darbvirsmu un LightDM pieteikšanās pārvaldnieku, taču principi ir vienādi lielākajā daļā Linux disku un galddatoru.
Iepriekš mēs parādījām, kā pieprasīt Google autentifikatoru uz attālinātu piekļuvi, izmantojot SSH, un šis process ir līdzīgs. Tam nav nepieciešama lietotne Google Authenticator, bet tā darbojas kopā ar jebkuru saderīgu lietotni, kas īsteno TOTP autentifikācijas shēmu, tostarp Authy.
Instalējiet Google autentifikatora PAM
Tā kā, iestatot šo pieeju SSH piekļuvei, mums vispirms būs jāinstalē atbilstoša PAM ("plug-in-authentication module") programmatūra. PAM ir sistēma, kas ļauj mums pieslēgt dažādas autentifikācijas metodes uz Linux sistēmu un pieprasīt no tām.
Uz Ubuntu šī komanda instalēs Google autentifikatora PAM. Atveriet Terminal logu, ierakstiet šādu komandu, nospiediet Enter un ievadiet savu paroli. Sistēma lejupielādēs PAM no jūsu Linux izplatīšanas programmatūras krātuvēm un instalēs to:
sudo apt-get install libpam-google-authenticator
Kā jau minējām iepriekš, šis risinājums nav atkarīgs no Google serveriem, kas zvana uz mājām. Tas īsteno standarta TOTP algoritmu un to var izmantot pat tad, ja jūsu datoram nav piekļuves internetam.
Izveidojiet autentifikācijas atslēgas
Tagad jums būs jāizveido slepenā autentifikācijas atslēga un jāievada savā lietotnē Google Authenticator (vai līdzīga) savā tālrunī. Vispirms piesakieties savā lietotāja kontā savā Linux sistēmā. Atveriet termināla logu un palaidiet google autentifikators komandu Tips y un sekojiet norādījumiem šeit. Tas izveidos īpašu failu pašreizējā lietotāja konta katalogā, izmantojot Google autentifikatora informāciju.
Noteikti pierakstiet avārijas scratch kodus, kurus jūs varat izmantot, lai pieteiktos, ja pazaudējat savu tālruni.
Aktivizēt autentifikāciju
Lūk, kur lietas kļūst nedaudz dicy. Kad mēs paskaidrojaim, kā iespējot divfaktoru SSH logins, mēs to pieprasījām tikai SSH logins. Tas nodrošināja, ka joprojām varat pieteikties lokāli, ja zaudējat autentifikācijas lietotni vai ja kaut kas noticis nepareizi.
Tā kā mēs nodrošināsim divu faktoru autentifikāciju vietējiem logins, šeit ir potenciālas problēmas. Ja kaut kas notiks nepareizi, iespējams, nevarēsit pieteikties. Paturot to prātā, mēs jums pavērsim iespēju to izdarīt tikai grafiskiem pieteikumvārdiem. Tas jums dod avārijas lūku, ja tas jums nepieciešams.
Iespējojiet Google autentifikatoru grafiskiem logins Ubuntu
Jūs vienmēr varat iespējot divpakāpju autentifikāciju tikai grafiskiem pieteikšanās gadījumiem, izlaižot prasību, kad piesakāties no teksta uzvednes. Tas nozīmē, ka jūs varētu viegli pārslēgties uz virtuālo termināli, pieteikties tajā un atgriezt izmaiņas, tādēļ Gogole Authenciator nebūtu nepieciešams, ja rodas problēma.
Protams, tas atver caurumu jūsu autentifikācijas sistēmā, taču uzbrucējs, kuram ir fiziska piekļuve jūsu sistēmai, jebkurā gadījumā to var izmantot. Tāpēc divu faktoru autentifikācija ir īpaši efektīva, lai attālināti ievadītu datus, izmantojot SSH.
Lūk, kā to izdarīt Ubuntu, kurā tiek izmantots LightDM pieteikšanās pārvaldnieks. Atveriet LightDM failu rediģēšanai, izmantojot šādu komandu:
sudo gedit /etc/pam.d/lightdm
(Atcerieties, ka šie konkrētie pasākumi darbosies tikai tad, ja jūsu Linux izplatīšana un darbvirsma izmantos LightDM pieteikšanās pārvaldnieku.)
auth required pam_google_authenticator.so nullok
Beigās "nullok" bits ļauj sistēmai ļaut lietotājam pieslēgties, pat ja viņiem nav palaistu Google autentifikācijas komandu, lai iestatītu divu faktoru autentifikāciju. Ja viņi to ir iestatījuši, viņiem būs jāievada laika baesd kods - citādi tie nebūs. Noņemiet "nullok" un lietotāju kontus, kuri nav iestatījuši Google autentifikatora kodu, nevarēs pieteikties grafiski.
Ja izmantojat mājas direktoriju šifrēšanu
Vecāki Ubuntu izlaidumi piedāvāja vienkāršu "mājas mapju šifrēšanu", kas šifrēja visu jūsu mājas direktoriju, līdz jūs ievadījāt savu paroli. Konkrēti, tas izmanto ecryptfs. Tomēr, tā kā PAM programmatūra ir atkarīga no Google Authenticator faila, kas saglabāts jūsu vietējā direktorijā pēc noklusējuma, šifrēšana traucē PAM lasīt failu, ja vien jūs pirms tā neesat pārliecinājies, ka tas ir pieejams nešifrētā formā. Konsultējieties ar README vairāk informācija par šīs problēmas novēršanu, ja jūs joprojām izmantojat novecojušās mājas direktoriju šifrēšanas opcijas.
Ubuntu mūsdienu versijās tā vietā tiek piedāvāta pilna diska šifrēšana, kas labi darbosies ar iepriekšminētajām opcijām. Jums nav jādara kaut kas īpašs
Palīdzība, tā ir salauzta!
Tā kā mēs to izdarījām tikai grafiskiem pieteikumvārdiem, tas būtu viegli atspējot, ja tas rada problēmu. Nospiediet taustiņu kombināciju, piemēram, Ctrl + Alt + F2, lai piekļūtu virtuālam terminālim un piesakieties tur ar savu lietotājvārdu un paroli. Pēc tam varat izmantot komandu, piemēram, sudo nano /etc/pam.d/lightdm, lai atvērtu failu rediģēšanai termināla teksta redaktorā. Izmantojiet mūsu ceļvedi Nano, lai noņemtu līniju un saglabātu failu, un jūs varēsiet vēlreiz pierakstīties.
Papildu dokumentāciju par to, kā lietot un iestatīt šo PAM moduli, var atrast programmatūras README failā GitHub.