Tämä prosessi tehtiin Ubuntu 14.04 -ohjelmistolla standardin Unity-työpöydällä ja LightDM-kirjautumisjohtajalla, mutta periaatteet ovat samat useimmissa Linux-jakeluissa ja työpöyissä.
Aiemmin näytimme sinulle, kuinka vaatia Google Authenticatoria etäyhteyden kautta SSH: n kautta, ja tämä prosessi on samanlainen. Tämä ei vaadi Google Authenticator -sovellusta, vaan toimii yhteensopivana sovelluksena, joka toteuttaa TOTP-todennusohjelman, mukaan lukien Authy.
Asenna Google Authenticator PAM
Kuten asetettaessa SSH: n käyttöön, meidän on ensin asennettava asianmukainen PAM ("pluggable-authentication module") -ohjelmisto. PAM on järjestelmä, jonka avulla voimme kytkeä eri tyyppisiä todentamismenetelmiä Linux-järjestelmään ja vaatia niitä.
Ubuntussa seuraava komento asentaa Google Authenticator PAM: n. Avaa Terminal-ikkuna, kirjoita seuraava komento, paina Enter ja anna salasanasi. Järjestelmä lataa PAM: n Linux-jakelun ohjelmistovarastoista ja asenna sen:
sudo apt-get install libpam-google-authenticator
Kuten aiemmin huomautimme, tämä ratkaisu ei riipu "soittamalla kotiin" Googlen palvelimiin. Se toteuttaa standardin TOTP-algoritmia ja sitä voidaan käyttää myös silloin, kun tietokoneella ei ole Internet-yhteyttä.
Luo todennusavaimet
Sinun on nyt luotava salainen todennusavaimen ja syötettävä se puhelimen Google Authenticator -sovellukseen (tai vastaavaan). Kirjaudu ensin käyttäjätunnuksellesi Linux-järjestelmässä. Avaa pääteikkuna ja suorita google-authenticator komento. Tyyppi y ja seuraa kehotteita täällä. Tämä luo erityisen tiedoston nykyiseen käyttäjätilin hakemistoon, jossa on Google Authenticator -tiedot.
Sinua ohjataan myös prosessin avulla, jolla tämä kaksitasoinen vahvistuskoodi tulee Google-todentajaan tai vastaavan TOTP-sovelluksen älypuhelimeen. Järjestelmäsi voi luoda QR-koodin, jonka voit skannata, tai voit kirjoittaa sen manuaalisesti.
Muista tallentaa hätätilan naarmuuntumiskoodit, joiden avulla voit kirjautua sisään, jos menetät puhelimesi.
Aktivoi todennus
Tässä on jotain vähän hämärää. Kun selitimme, kuinka SSH-kirjautumistiedot voidaan ottaa käyttöön kahdelle tekijälle, vaadimme vain SSH-kirjautumisia. Tämä varmisti, että voit kirjautua sisään paikallisesti, jos menetät todentamissovelluksen tai jos jokin meni pieleen.
Koska voimme ottaa käyttöön kaksitasoisen todennuksen paikallisille kirjautumisille, tässä on mahdollisia ongelmia. Jos jotain menee pieleen, et ehkä voi kirjautua sisään. Kun pidämme mielessä, kuljemme sinut läpi, kun otat tämän käyttöön vain graafisissa kirjautumisissa. Tämä antaa sinulle paikanluukun, jos tarvitset sitä.
Ota Google Authenticator käyttöön graafisissa kirjautumisissa Ubuntuun
Voit aina ottaa kaksivaiheisen todennuksen vain graafisiin kirjautumisiin, jättämällä vaatimuksen kirjautumalla tekstiviestikyselyyn. Tämä tarkoittaa sitä, että voit helposti siirtyä virtuaalipäätteeseen, kirjautua sinne ja palauttaa muutokset, jotta Gogole Authenciatoria ei tarvita, jos sinulla on ongelma.
Toki, tämä avaa reitit autentikointijärjestelmässäsi, mutta hyökkääjä, jolla on fyysinen pääsy järjestelmään, voi jo hyödyntää sitä. Siksi kahden tekijän todentaminen on erityisen tehokasta etähallinnolle SSH: n kautta.
Näin voit tehdä tämän Ubuntulle, joka käyttää LightDM-kirjautumissuunnitelmaa. Avaa LightDM-tiedosto muokattavaksi seuraavan komennon avulla:
sudo gedit /etc/pam.d/lightdm
(Muista, että nämä konkreettiset vaiheet toimivat vain, jos Linux-jakelu ja työpöytäsi käyttävät LightDM-kirjautumisjohtajaa.)
auth required pam_google_authenticator.so nullok
Nollak-bitti lopussa kertoo järjestelmän sallivan käyttäjän kirjautumisen, vaikka he eivät olisikaan suorittaneet google-authenticator -komentoa kahden tekijän todennuksen määrittämiseen. Jos he ovat asettaneet sen, he joutuvat kirjoittamaan aika-baesd-koodin - muuten he eivät. Poista nollok-käyttäjät ja käyttäjätilit, jotka eivät ole määrittäneet Google Authenticator -koodia, eivät pysty kirjautumaan graafisesti.
Jos käytät kotihakemiston salausta
Ubuntun vanhemmat versiot tarjosivat helppokäyttöisen kotikansioiden salauksen, joka salasi koko kotihakemiston, kunnes kirjoitit salasanasi. Erityisesti tämä käyttää ecryptf: ää. Koska PAM-ohjelmisto riippuu oletusarvoisesti kotihakemistasi tallennetusta Google Authenticator -tiedostosta, salaus häiritsee PAM-tiedostoa lukemalla, ellei varmisteta, että se on käytettävissä salaamattomassa muodossa järjestelmään ennen kirjautumista. Lue lisätietoja README-palvelusta. tietoja tämän ongelman välttämisestä, jos käytät edelleen deprecated home -hakemiston salausvaihtoehtoja.
Ubuntun nykyaikaiset versiot tarjoavat täyden levyn salauksen, joka toimii hyvin edellä mainittujen asetusten kanssa. Sinun ei tarvitse tehdä mitään erityistä
Auta, se rikkoi!
Koska olemme salli tämän vain graafisen kirjautumisen yhteydessä, sen pitäisi olla helppo poistaa käytöstä, jos se aiheuttaa ongelman. Paina näppäimistön yhdistelmää, kuten Ctrl + Alt + F2, päästäksesi virtuaalipäätteeseen ja kirjaudu sisään siellä käyttäjänimelläsi ja salasanallasi. Tämän jälkeen voit käyttää komentoa, kuten sudo nano /etc/pam.d/lightdm, avataksesi muokattavan tiedoston tekstin päätoimittajana. Nano-oppaan avulla voit poistaa rivin ja tallentaa tiedoston, ja voit kirjautua uudelleen normaalisti uudelleen.
Lisätietoja tämän PAM-moduulin käyttämisestä ja käyttöönotosta löytyy GitHub-ohjelmiston README-tiedostosta.