Tento proces bol vykonaný na Ubuntu 14.04 so štandardným prihlasovacím manažérom Unity desktop a LightDM, ale princípy sú rovnaké na väčšine linuxových distribúcií a desktopov.
Predtým sme vám ukázali, ako vyžadovať službu Google Authenticator na vzdialený prístup cez službu SSH a tento proces je podobný. Toto nevyžaduje aplikáciu Google Authenticator, ale pracuje s ľubovoľnou kompatibilnou aplikáciou, ktorá implementuje schému autentifikácie TOTP vrátane Authy.
Nainštalujte PAM aplikácie Google Authenticator
Rovnako ako pri nastavovaní prístupu SSH, najprv musíme nainštalovať príslušný softvér PAM ("pluggable-authentication module"). PAM je systém, ktorý nám umožňuje pripojiť rôzne typy autentifikačných metód do systému Linux a vyžadovať ich.
Na Ubuntu nasledujúci príkaz nainštaluje PAM aplikácie Google Authenticator. Otvorte okno Terminál, zadajte nasledujúci príkaz, stlačte kláves Enter a zadajte heslo. Systém stiahne súbor PAM z repozitárov softvéru distribúcie systému Linux a nainštaluje ho:
sudo apt-get install libpam-google-authenticator
Ako sme už uviedli, toto riešenie nezávisí od "telefonovania domov" na servery spoločnosti Google. Implementuje štandardný algoritmus TOTP a môže byť použitý aj vtedy, keď váš počítač nemá prístup na Internet.
Vytvorte svoje overovacie kľúče
Teraz budete musieť vytvoriť tajný overovací kľúč a vložiť ho do aplikácie Google Authenticator (alebo podobnej) v telefóne. Najprv sa prihláste ako svoj používateľský účet na systéme Linux. Otvorte okno terminálu a spustite ho google-authenticator Príkaz. typ y a postupujte podľa pokynov tu. Tým sa vytvorí špeciálny súbor v adresári aktuálneho používateľského účtu s informáciami služby Google Authenticator.
Uistite sa, že si všimnete núdzové škrabacie kódy, ktoré môžete použiť na prihlásenie sa, ak stratíte telefón.
Aktivujte autentifikáciu
Tu je to, kde sa veci trochu dicy. Keď sme vysvetlili, ako povoliť dvojfaktorové prihlásenie SSH, vyžadovali sme ho len pre prihlasovanie SSH. To vám zaručilo, že sa môžete naďalej prihlásiť lokálne, ak ste stratili svoju autentizačnú aplikáciu alebo ak sa niečo pokazilo.
Keďže budeme umožňovať dvojfaktorovú autentifikáciu pre miestne prihlásenia, tu sú potenciálne problémy. Ak sa niečo pokazí, možno sa nebudete môcť prihlásiť. S ohľadom na to budeme prechádzať tým, že to povolíme iba pre grafické prihlásenia. To vám dáva únikový poklop, ak ho potrebujete.
Aktivujte aplikáciu Google Authenticator na grafické prihlasovanie na Ubuntu
Vždy môžete povoliť dvojstupňové overenie iba pre grafické prihlasovacie údaje, preskočenie požiadavky pri prihlasovaní sa z textového výzvy. To znamená, že by ste mohli ľahko prejsť na virtuálny terminál, prihlásiť sa tam a vrátiť zmeny, aby sa Gogole Authenciator nevyžadoval, ak sa vyskytne problém.
Samozrejme, toto otvára dieru vo vašom autentifikačnom systéme, ale útočník s fyzickým prístupom k vášmu systému ho môže už tak ako tak využiť. To je dôvod, prečo je dvojfaktorová autentifikácia obzvlášť efektívna pre vzdialené prihlásenia cez SSH.
Tu je postup, ako to urobiť pre Ubuntu, ktorý používa správcu prihlásenia LightDM. Otvorte súbor LightDM na úpravu pomocou príkazu, ako je nasledujúci:
sudo gedit /etc/pam.d/lightdm
(Nezabudnite, že tieto konkrétne kroky budú fungovať len vtedy, ak vaša distribúcia a pracovná plocha v systéme Linux používajú správcu prihlásenia LightDM.)
auth required pam_google_authenticator.so nullok
Bit "nullok" na konci informuje systém, aby nechal prihlásenie používateľa aj v prípade, že nespustil príkaz google-authenticator a nastavil dvojfaktorovú autentifikáciu. Ak ich nastavia, budú musieť zadať časový kód - inak nebudú. Odstráňte položku "nullok" a používateľské kontá, ktoré si nenastavili kód Google Authenticator, sa nebudú môcť graficky prihlásiť.
Ak používate šifrovanie domovského adresára
Staršie vydania Ubuntu ponúkajú jednoduchú možnosť "šifrovania domovského priečinka", ktorá zašifruje celý váš domovský adresár, kým nezadáte svoje heslo. Konkrétne to používa ecryptfs. Keďže softvér PAM závisí od súboru aplikácie Google Authenticator, ktorý je uložený vo vašom domovskom adresári predvolene, šifrovanie zasahuje do čítania súboru PAM, pokiaľ sa pred prihlásením do systému neozvete, že je k dispozícii v nezašifrovanej forme. Pred použitím sa obráťte na README. informácie o vyhnúť sa tomuto problému, ak stále používate možnosti šifrovania domáceho adresára.
Moderné verzie softvéru Ubuntu ponúkajú šifrovanie s úplným diskom, ktoré bude fungovať v súlade s vyššie uvedenými možnosťami. Nemusíte robiť nič zvláštneho
Pomoc, je to zlomené!
Pretože sme to povolili iba pre grafické prihlasovanie, malo by byť jednoduché zakázať, ak spôsobí problém. Stlačením kombinácie klávesov, ako sú klávesy Ctrl + Alt + F2, získate prístup k virtuálnemu terminálu a prihláste sa pomocou svojho používateľského mena a hesla. Potom môžete použiť príkaz sudo nano /etc/pam.d/lightdm na otvorenie súboru na úpravu v terminálovom textovom editore. Pomocou nášho sprievodcu pre Nano odstráňte riadok a uložte súbor a budete sa môcť znova prihlásiť.
Ďalšiu dokumentáciu o používaní a nastavení tohto modulu PAM môžete nájsť v súbore README softvéru na GitHub.
