כיצד להיכנס לשולחן העבודה שלך עם
לקבלת אבטחה נוספת, אתה יכול לדרוש אסימון אימות מבוסס זמן כמו גם סיסמה להיכנס למחשב Linux שלך. פתרון זה משתמש ב- Google Authenticator ובאפליקציות TOTP אחרות.
תהליך זה בוצע באובונטו 14.04 עם שולחן העבודה הסטנדרטי של Unity ועם מנהל ההתחברות של LightDM, אך העקרונות זהים ברוב ההפצות והשולחנות של לינוקס.
בעבר ראינו כיצד לדרוש מאמת החשבונות של Google לגישה מרחוק באמצעות SSH, ותהליך זה דומה. פעולה זו אינה דורשת את היישום 'מאמת החשבונות של Google', אך פועלת עם אפליקציה תואמת שמיישמת את ערכת האימות של TOTP, כולל Authy.
התקן את PAM המאמת של Google
כמו בעת הגדרת זה לגישה SSH, תחילה עלינו להתקין את תוכנת PAM ("מודול האימות הניתן לחיבור"). PAM היא מערכת המאפשרת לנו לחבר סוגים שונים של שיטות אימות למערכת לינוקס ולדרוש אותם.
ב- Ubuntu, הפקודה הבאה תתקין את PAM של Google Authenticator. פתח חלון טרמינל, הקלד את הפקודה הבאה, הקש על Enter וספק את הסיסמה שלך. המערכת תוריד את ה- PAM ממאגרי התוכנות של הפצת לינוקס ותתקין אותו:
sudo apt-get להתקין את libpam-google-authenticator
חלוקות לינוקס אחרות יש לקוות בחבילה זו זמינה להתקנה קלה, גם - לפתוח את המאגרים של לינוקס ההפצה של התוכנה ולבצע חיפוש אחר זה. במקרה הגרוע ביותר, אתה יכול למצוא את קוד המקור של מודול PAM על GitHub ולעבד אותו בעצמך.
כפי שציינו קודם, פתרון זה אינו תלוי "צלצול הביתה" לשרתים של גוגל. זה מיישם את האלגוריתם הסטנדרטי TOTP וניתן להשתמש בו גם כאשר המחשב שלך אין גישה לאינטרנט.
צור את מפתחות האימות שלך
כעת עליך ליצור מפתח אימות סודי ולהזין אותו באפליקציית המאמת של Google (או דומה) בטלפון שלך. ראשית, היכנס לחשבון המשתמש שלך במערכת Linux. פתח חלון מסוף והפעל את Google-authenticator פקודה. הקלד y ופעל לפי ההנחיות כאן. פעולה זו תיצור קובץ מיוחד בספריית חשבון המשתמש הנוכחי עם פרטי המאמת של Google.
כמו כן, תוכל לעבור את תהליך קבלת קוד האימות הדו-גורמי הזה למאמת של Google או לאפליקציית TOTP דומה בטלפון החכם. המערכת שלך יכולה ליצור קוד QR שאתה יכול לסרוק, או שאתה יכול להקליד אותו באופן ידני.
הקפד לציין את קודי החירום לשעת חירום, שבהם תוכל להשתמש כדי להתחבר עם אם תאבד את הטלפון.
עבור לתהליך זה עבור כל חשבון משתמש המשתמש במחשב שלך. לדוגמה, אם אתה האדם היחיד שמשתמש במחשב שלך, תוכל לעשות זאת פעם אחת בחשבון המשתמש הרגיל שלך. אם יש לך משתמש אחר שמשתמש במחשב שלך, תרצה שיכנס לחשבון שלו ויוצר קוד מתאים לשני גורמים עבור החשבון שלו כדי שיוכל להיכנס לחשבון.
הפעל אימות
זה המקום שבו הדברים מקבלים קצת דיסי. כאשר הסברנו כיצד לאפשר שני גורמים עבור כניסה SSH, נדרשנו רק עבור כניסות SSH. זה הבטיח אתה עדיין יכול להיכנס באופן מקומי אם איבדת את יישום האימות שלך או אם משהו השתבש.
מכיוון שנפעיל אימות של שני גורמים עבור כניסות מקומיות, יש כאן בעיות פוטנציאליות. אם משהו משתבש, ייתכן שלא תוכל להיכנס. אם נחשוב על כך, ננחה אותך על ידי הפעלת אפשרות זו עבור כניסות גרפיות בלבד. זה נותן לך פתח להימלט אם אתה צריך את זה.
הפעל את Google Authenticator עבור כניסות גרפיות באובונטו
תוכל תמיד לאפשר אימות דו-שלבי עבור כניסות גרפיות בלבד, תוך דילוג על הדרישה בעת כניסה מהנחיית הטקסט. זה אומר שאתה יכול בקלות לעבור מסוף וירטואלי, להיכנס לשם, לבטל את השינויים שלך כך Gogole Authenciator לא יידרש אם אתה נתקל בבעיה.
בטח, זה פותח חור במערכת האימות שלך, אבל תוקף עם גישה פיזית למערכת שלך כבר יכול לנצל את זה בכל זאת. זו הסיבה לאימות שני גורמים יעיל במיוחד עבור כניסות מרחוק באמצעות SSH.
הנה איך לעשות את זה עבור אובונטו, המשתמשת מנהל הכניסה LightDM. פתח את הקובץ LightDM לעריכה באמצעות פקודה כמו:
sudo gedit /etc/pam.d/lightdm
(זכור, השלבים הספציפיים האלה יפעלו רק אם הפצת לינוקס ושולחן העבודה שלך משתמשים במנהל ההתחברות של LightDM).
הוסף את השורה הבאה לסוף הקובץ ולאחר מכן שמור אותה:
נדרש
"Nullok" בסוף בסוף אומר למערכת לתת למשתמש להיכנס גם אם הם לא להפעיל את הפקודה Google-authenticator להגדיר אימות שני גורמים. אם הם הגדירו את זה, הם יצטרכו להזין קוד bisesd זמן - אחרת הם לא. הסר את "nullok" וחשבונות המשתמשים שלא הגדירו קוד המאמת של Google פשוט לא יוכלו להיכנס באופן גרפי.
בפעם הבאה שמשתמש יתחבר בצורה גרפית, הוא יתבקש להזין את הסיסמה שלו ולאחר מכן תתבקש להציג את קוד האימות הנוכחי המוצג בטלפון שלו. אם הם לא יכניסו את קוד האימות, הם לא יורשו להיכנס.
התהליך צריך להיות דומה למדי עבור הפצות לינוקס אחרות שולחנות עבודה, כמו המנהלים הנפוצים ביותר לינוקס שולחן העבודה להשתמש PAM. אתה כנראה רק צריך לערוך קובץ אחר עם משהו דומה להפעיל את המודול המתאים PAM.
אם אתה משתמש ב- Home Directory הצפנה
מהדורות ישנות יותר של אובונטו הציעו אפשרות "הצפנת תיקיות ביתית" קלה, אשר הצפינה את כל ספריית הבית עד שתזין את סיסמתך. באופן ספציפי, זה משתמש ecryptfs. עם זאת, מכיוון שתוכנת PAM תלויה בקובץ המאמת של Google המאוחסן בספריית הבית שלך כברירת מחדל, ההצפנה מפריעה לקריאת PAM של הקובץ, אלא אם תבטיח שהוא זמין בצורה לא מוצפנת למערכת לפני שתתחבר. עיין ב- README למידע נוסף מידע על הימנעות מבעיה זו אם אתה עדיין משתמש באפשרויות הצפנת ספריות הבית שהוצאו משימוש.
גרסאות מודרניות של אובונטו מציעות הצפנת דיסק מלא במקום זאת, אשר יעבוד בסדר עם האפשרויות לעיל. אתה לא צריך לעשות שום דבר מיוחד
עזרה, זה שבור!
כי אנחנו רק לאפשר את זה עבור כניסות גרפי, זה צריך להיות קל להשבית אם זה גורם לבעיה. לחץ על צירוף מקשים כגון Ctrl + Alt + F2 כדי לגשת למסוף וירטואלי ולהיכנס לשם המשתמש והסיסמה שלך. לאחר מכן תוכל להשתמש בפקודה כמו sudo nano /etc/pam.d/lightdm כדי לפתוח את הקובץ לעריכה בעורך טקסט מסוף. השתמש במדריך שלנו ל- Nano כדי להסיר את הקו ולשמור את הקובץ, ותוכל להתחבר שוב באופן תקין.
תוכל גם לאלץ את המאמת של Google להיות נחוץ עבור סוגים אחרים של כניסות - ואולי אפילו את כל כניסות המערכת - על ידי הוספת השורה "auth required pam_google_authenticator.so" לקובצי תצורה אחרים של PAM. היזהר אם אתה עושה את זה. וזכור, ייתכן שתרצה להוסיף "nullok" כדי שמשתמשים שעדיין לא עברו את תהליך ההגדרה עדיין יכולים להתחבר.
תיעוד נוסף על אופן השימוש ולהגדיר את מודול ה- PAM ניתן למצוא בקובץ README של התוכנה ב- GitHub.