Jak povolit dvoufaktorovou autentizaci v systému Linux pro přihlášení

Linux je známý tím, že vyžaduje heslo, aby cokoliv udělal s jádrem systému. Z tohoto důvodu mnozí považují Linux za trochu bezpečnější než většina operačních systémů (ačkoli v žádném případě není dokonalý). Mít silné heslo a dobré zásady sudoeru je skvělé, ale není to bezpečné a někdy to nestačí k vaší ochraně. To je důvod, proč se mnozí v oblasti bezpečnosti rozhodli používat v Linuxu dvoufaktorové ověřování

V tomto článku se podíváme na to, jak povolit dvoufaktorové ověřování v systému Linux pomocí aplikace Google Authenticator.

Instalace

Použití Google Authenticator je možné díky a pam zapojit. Použijte tento plugin s GDM (a dalšími desktopovými manažery, kteří jej podporují). Zde je návod, jak jej nainstalovat do počítače se systémem Linux.

Poznámka: Před nastavením tohoto pluginu na vašem počítači se systémem Linux přejděte na stránku Google Play obchod (nebo) Apple App Store a stáhněte si Google Authenticator, protože je klíčovou součástí tohoto výukového programu.

Ubuntu

sudo apt install libpam-google-authenticator

Debian

sudo apt-get install libpam-google-authenticator

Arch Linux

Arch Linux ve výchozím nastavení nepodporuje ověřovací modul pam Google. Uživatelé budou místo toho muset uchopit a zkompilovat modul prostřednictvím balíčku AUR. Stáhněte si nejnovější verzi PKGBUILD nebo na ni nasměrujte svého oblíbeného pomocníka AUR, aby fungoval.

Fedora

sudo dnf install google-authenticator

OpenSUSE

sudo zypper install google-authenticator-libpam

Ostatní Linuxy

Zdrojový kód linuxové verze Google Authenticator, stejně jako plugin libpam použitý v této příručce, jsou snadno dostupné na Github. Pokud používáte netradiční distribuci Linuxu, zamiřte sem a postupujte podle pokynů na stránce. Pokyny vám mohou pomoci sestavit jej ze zdroje.

Nastavte Google Authenticator v systému Linux

Než bude pam fungovat s pluginem Google Authentication, je třeba upravit konfigurační soubor. Chcete-li upravit tento konfigurační soubor, otevřete okno terminálu. Uvnitř terminálu spusťte:

sudo nano /etc/pam.d/common-auth


Uvnitř souboru common-auth je toho hodně, na co se můžete podívat. Spousta komentářů a poznámek, jak by měl systém používat nastavení ověřování mezi službami v Linuxu. Ignorujte toto vše v souboru a přejděte úplně dolů na „# zde jsou moduly pro jednotlivé balíčky (blok „Primární“)“. Přesuňte kurzor pod něj pomocí šipky dolů a stisknutím klávesy Enter vytvořte nový řádek. Pak napište toto:

auth required pam_google_authenticator.so

Po vypsání tohoto nového řádku stiskněte CTRL + O pro uložení úpravy. Poté stiskněte CTRL + X pro ukončení Nano.

Dále se vraťte do terminálu a zadejte „google-authenticator“. Poté budete požádáni, abyste odpověděli na několik otázek.

První otázka, kterou Google Authenticator položí, je „Chcete, aby byly ověřovací tokeny založené na čase“. Odpovězte „ano“ stisknutím y na klávesnici.

Po zodpovězení této otázky nástroj vytiskne nový tajný klíč spolu s několika nouzovými kódy. Zapište si tento kód, protože je důležitý.

Pokračujte a odpovězte na další tři otázky jako „ano“, následované „ne“ a „ne“.

Poslední otázka, kterou autentizátor položí, souvisí s omezením rychlosti. Pokud je toto nastavení povoleno, aplikace Google Authenticator povolí pouze 3 pokusy/neúspěšné každých 30 sekund. Z bezpečnostních důvodů vám doporučujeme odpovědět ano, ale je zcela v pořádku odpovědět ne, pokud vás omezení sazeb nezajímá.

Konfigurace aplikace Google Authenticator

Linuxová stránka věci funguje. Nyní je čas nakonfigurovat aplikaci Google Authenticator tak, aby fungovala s novým nastavením. Chcete-li začít, otevřete aplikaci a vyberte možnost „zadat poskytnutý klíč“. Tím se zobrazí oblast „zadejte podrobnosti o účtu“.

V této oblasti je třeba vyplnit dvě věci: název počítače, se kterým používáte autentizátor, a také tajný klíč, který jste si zapsali dříve. Vyplňte oba tyto údaje a Google Authenticator bude funkční.

Přihlášení

Nastavili jste Google Authenticator v systému Linux, stejně jako své mobilní zařízení a vše spolu funguje, jak má. Chcete-li se přihlásit, vyberte uživatele v GDM (nebo LightDM atd.). Ihned po výběru uživatele si váš operační systém vyžádá ověřovací kód. Otevřete své mobilní zařízení, přejděte do aplikace Google Authenticator a zadejte kód, který se zobrazí ve správci přihlášení.

Pokud je kód úspěšný, budete moci zadat přístupový kód uživatele.

Poznámka: Nastavení aplikace Google Authenticator v systému Linux neovlivňuje pouze správce přihlášení. Místo toho, pokaždé, když se uživatel pokusí získat přístup root, získat přístupová práva sudo nebo provést cokoli, co vyžaduje heslo, je vyžadován ověřovací kód.

Závěr

Dvoufaktorová autentizace přímo připojená k ploše Linuxu přidává další vrstvu zabezpečení, která by zde měla být ve výchozím nastavení. S tímto povoleným je mnohem těžší získat přístup k něčímu systému.

Dva faktory mohou být občas ošemetné (například když jste příliš pomalí pro autentizátor), ale celkově je to vítaný doplněk ke každému správci desktopů Linuxu.