Како се пријавити на ваш Линук Десктоп помоћу Гоогле Аутхентицатора
За додатну сигурност можете захтијевати токен за провјеру аутентичности заснован на времену, као и лозинку за пријаву на ваш Линук ПЦ. Ово решење користи Гоогле Аутхентицатор и друге ТОТП апликације.
Овај процес је изведен на Убунту 14.04 са стандардним Унити десктоп и ЛигхтДМ логин менаџером, али принципи су исти на већини Линук дистрибуција и десктоп рачунара.
Претходно смо вам показали како да захтевате Гоогле Аутентификатор за даљински приступ преко ССХ-а, а овај процес је сличан. Ово не захтева апликацију Гоогле Аутентификатор, већ функционише са било којом компатибилном апликацијом која имплементира ТОТП шему провере аутентичности, укључујући и Аутхи.
Инсталирајте ПАМ за Гоогле Аутентификатор
Као и приликом подешавања ССХ приступа, прво ћемо морати да инсталирамо одговарајући ПАМ (“плуггабле-аутхентицатион модуле”) софтвер. ПАМ је систем који нам омогућава да укључимо различите типове метода аутентикације у Линук систем и да их захтевамо.
На Убунту, наредна команда ће инсталирати Гоогле Аутентификатор ПАМ. Отворите прозор Терминала, откуцајте следећу команду, притисните Ентер и унесите лозинку. Систем ће преузети ПАМ из вашег Линук дистрибуцијског софтвера и инсталирати га:
судо апт-гет инсталл либпам-гоогле-аутхентицатор
Надам се да ће и друге Линук дистрибуције имати овај пакет на располагању за једноставну инсталацију - отворите репозиторије софтвера за Линук дистрибуцију и извршите претрагу. У најгорем случају, можете пронаћи изворни код за ПАМ модул на ГитХуб-у и сами га саставити.
Као што смо раније истакли, ово решење не зависи од „телефонирања кући“ до Гооглеових сервера. Она имплементира стандардни ТОТП алгоритам и може се користити чак и када ваш рачунар нема приступ Интернету.
Креирајте ваше кључеве за проверу аутентичности
Сада ћете морати да креирате тајни кључ за аутентификацију и унесете га у апликацију Гоогле Аутхентицатор (или сличну апликацију) на телефону. Прво се пријавите као кориснички налог на Линук систему. Отворите прозор терминала и покрените гоогле-аутхентицатор команду. Тип и и пратите упутства овде. Ово ће креирати посебну датотеку у директоријуму тренутног корисничког налога помоћу информација Гоогле Аутентификатора.
Проћи ћете и кроз процес добијања верификацијског кода у два фактора у Гоогле аутентификатору или сличној ТОТП апликацији на паметном телефону. Ваш систем може генерисати КР код који можете скенирати, или га можете ручно уписати.
Обавезно запишите своје кодове за хитне акције које можете користити за пријаву ако изгубите телефон.
Прођите кроз овај процес за сваки кориснички налог који користи ваш рачунар. На пример, ако сте једина особа која користи ваш рачунар, можете то да урадите само једном на нормалном корисничком налогу. Ако имате неког другог ко користи ваш рачунар, пожелите да се они пријаве на сопствени рачун и да генеришу одговарајући двофакторски код за сопствени налог како би се могли пријавити.
Ацтивате Аутхентицатион
Ево где ствари постају помало дици. Када смо објаснили како омогућити два фактора за ССХ пријаве, тражили смо га само за ССХ пријаве. Ово је осигурало да се и даље можете пријавити локално ако сте изгубили апликацију за провјеру аутентичности или ако нешто није у реду.
Пошто ћемо омогућити аутентификацију у два фактора за локалне пријаве, овде постоје потенцијални проблеми. Ако нешто крене наопако, можда се нећете моћи пријавити. Имајући то у виду, проћи ћемо кроз омогућавање овог само за графичке пријаве. Ово вам даје излаз за бијег ако вам је потребан.
Омогућите Гоогле Аутхентицатор за графичке пријаве на Убунту
Увек можете да омогућите аутентификацију у два корака само за графичке пријаве, прескочите захтев када се пријавите из текстуалног одзива. То значи да можете лако да пређете на виртуелни терминал, пријавите се тамо и вратите промене да Гоголе Аутхенциатор не би био потребан ако имате проблема.
Наравно, ово отвара рупу у вашем систему аутентификације, али нападач са физичким приступом вашем систему може га већ искористити. Због тога је аутентификација са два фактора посебно ефикасна за удаљене пријаве преко ССХ-а.
Ево како то урадити за Убунту, који користи ЛигхтДМ логин менаџер. Отворите ЛигхтДМ датотеку за уређивање наредбом попут сљедеће:
судо гедит /етц/пам.д/лигхтдм
(Запамтите, ови специфични кораци ће функционисати само ако ваша Линук дистрибуција и радна површина користе ЛигхтДМ логин менаџер.)
Додајте следећу линију на крај датотеке, а затим је сачувајте:
аутх рекуиред пам_гоогле_аутхентицатор.со нуллок
Бит "нуллок" на крају каже систему да дозволи кориснику да се пријави чак и ако нису покренули команду гоогле-аутхентицатор да би подесили аутентификацију са два фактора. Ако су га подесили, мораће да унесу временски код - иначе неће. Уклањање „нуллок“ и корисничких налога који нису поставили Гоогле Аутентификациони код једноставно се неће моћи логично пријавити.
Следећи пут када се корисник улогује графички, од њих ће бити затражена лозинка, а затим ће бити затражен тренутни контролни код приказан на телефону. Ако не унесу верификациони код, неће им бити дозвољено да се пријаве.
Процес би требало да буде прилично сличан за друге Линук дистрибуције и десктоп рачунаре, јер најчешћи Линук менаџери користе ПАМ. Вероватно ћете морати да уредите други фајл са нечим сличним да активирате одговарајући ПАМ модул.
Ако користите шифровање кућног именика
Старија издања Убунту-а нудила су опцију "енцриптион хоме фолдер" која је шифрирала цијели ваш хоме директориј док не унесете лозинку. Конкретно, ово користи ецриптфс. Међутим, пошто ПАМ софтвер зависи од датотеке Гоогле Аутентификатора која је подразумевано похрањена у вашем матичном директоријуму, шифровање омета ПАМ читање датотеке ако не осигурате да је систем доступан у нешифрованом облику пре него што се пријавите. информације о избегавању овог проблема ако и даље користите застареле опције шифровања кућног именика.
Модерне верзије Убунтуа нуде уместо тога потпуно шифровање диска, што ће добро функционисати са горе наведеним опцијама. Не мораш да радиш ништа посебно
Помоћ, разбио се!
Пошто смо ово омогућили само за графичке пријаве, требало би да буде лако да се онемогући ако изазове проблем. Притисните комбинацију тастера као што је Цтрл + Алт + Ф2 да бисте приступили виртуелном терминалу и пријавили се са својим корисничким именом и лозинком. Затим можете користити команду као што је судо нано /етц/пам.д/лигхтдм да бисте отворили датотеку за уређивање у уређивачу текста у терминалу. Користите наш водич за Нано да бисте уклонили линију и сачували датотеку и моћи ћете поново да се пријавите.
Такође можете натерати Гоогле Аутентикатор да буде потребан за друге типове пријављивања - потенцијално чак и системске пријаве - додавањем линије „аутх рекуиред пам_гоогле_аутхентицатор.со“ у друге ПАМ конфигурационе датотеке. Будите пажљиви ако то урадите. И запамтите, можда ћете желети да додате “нуллок” тако да се корисници који нису прошли кроз процес подешавања могу и даље пријављивати.
Даља документација о томе како да користите и подесите овај ПАМ модул можете пронаћи у софтверској РЕАДМЕ датотеци на ГитХуб-у.