Linux известен тем, что для каких-либо действий с основной системой требуется пароль. Именно из-за этого многие считают Linux немного более безопасным, чем большинство операционных систем (хотя и не идеальным). Наличие надежного пароля и хорошей политики sudoer — это здорово, но это небезопасно, а иногда и недостаточно, чтобы защитить вас. Вот почему многие специалисты в области безопасности стали использовать двухфакторную аутентификацию в Linux.

В этой статье мы рассмотрим, как включить двухфакторную аутентификацию в Linux с помощью Google Authenticator.

Установка

Использование Google Authenticator возможно благодаря пам плагин. Используйте этот плагин с GDM (и другими менеджерами рабочего стола, которые его поддерживают). Вот как установить его на ваш компьютер с Linux.

Примечание. Перед установкой этого подключаемого модуля на ПК с Linux перейдите в Google Play магазин (или же) Apple App Store и загрузите Google Authenticator, поскольку это ключевая часть этого руководства.

Ubuntu

sudo apt install libpam-google-authenticator

Debian

sudo apt-get install libpam-google-authenticator

Arch Linux

Arch Linux по умолчанию не поддерживает модуль аутентификации pam Google. Вместо этого пользователям нужно будет захватить и скомпилировать модуль через пакет AUR. Загрузите последнюю версию PKGBUILD или наведите на нее свой любимый помощник AUR, чтобы он заработал.

  Описание временных меток файлов Linux: atime, mtime и ctime

Fedora

sudo dnf install google-authenticator

OpenSUSE

sudo zypper install google-authenticator-libpam

Другие Linux

Исходный код версии Google Authenticator для Linux, а также плагин libpam, используемый в этом руководстве, легко доступен на Github. Если вы используете нетрадиционный дистрибутив Linux, иди сюда и следуйте инструкциям на странице. Инструкции могут помочь вам скомпилировать его из исходников.

Настройте Google Authenticator в Linux

Файл конфигурации необходимо отредактировать, прежде чем pam будет работать с плагином Google Authentication. Чтобы изменить этот файл конфигурации, откройте окно терминала. Внутри терминала запустите:

sudo nano /etc/pam.d/common-auth


Внутри файла common-auth есть на что посмотреть. Множество комментариев и примечаний о том, как система должна использовать настройки аутентификации между службами в Linux. Не обращайте внимания на все это в файле и прокрутите вниз до «# вот модули для каждого пакета (« Основной »блок)». Переместите курсор под ним с помощью клавиши со стрелкой вниз и нажмите Enter, чтобы создать новую строку. Затем напишите это:

auth required pam_google_authenticator.so

После записи этой новой строки нажмите CTRL + O, чтобы сохранить изменения. Затем нажмите CTRL + X, чтобы выйти из Nano.

  9 лучших причин использовать Ubuntu Linux

Затем вернитесь к терминалу и введите «google-Authenticator». Затем вам будет предложено ответить на несколько вопросов.

Первый вопрос, который задает Google Authenticator, — «хотите ли вы, чтобы токены аутентификации были привязаны ко времени». Ответьте «да», нажав y на клавиатуре.

После ответа на этот вопрос инструмент распечатает новый секретный ключ вместе с некоторыми аварийными кодами. Запишите этот код, так как он важен.

Продолжите и ответьте на следующие три вопроса «да», а затем «нет» и «нет».

Последний вопрос, который задает аутентификатор, касается ограничения скорости. Когда этот параметр включен, Google Authenticator разрешает только 3 попытки / неудачные попытки каждые 30 секунд. По соображениям безопасности мы рекомендуем вам ответить «да», но вполне нормально ответить «нет», если ограничение скорости вас не волнует.

Настройка Google Authenticator

Со стороны Linux все работает. Пришло время настроить приложение Google Authenticator, чтобы оно работало с новой настройкой. Для начала откройте приложение и выберите опцию «ввести предоставленный ключ». Появится область «введите данные учетной записи».

  Как отключить IPv6 в Linux

В этой области нужно заполнить две вещи: имя ПК, на котором вы используете аутентификатор, а также секретный ключ, который вы записали ранее. Заполните оба поля, и Google Authenticator заработает.

Вход в систему

Вы настроили Google Authenticator в Linux, а также на своем мобильном устройстве, и все работает вместе, как должно. Для входа выберите пользователя в GDM (или LightDM и т. Д.). Сразу после выбора пользователя ваша операционная система запросит код аутентификации. Откройте свое мобильное устройство, перейдите в Google Authenticator и введите код, который появляется в диспетчере входа.

Если код будет успешным, вы сможете ввести пароль пользователя.

Примечание. Настройка Google Authenticator в Linux влияет не только на диспетчер входа в систему. Вместо этого каждый раз, когда пользователь пытается получить root-доступ, доступ к привилегиям sudo или делать что-либо, требующее пароля, требуется код аутентификации.

Вывод

Двухфакторная аутентификация, напрямую подключенная к рабочему столу Linux, добавляет дополнительный уровень безопасности, который должен присутствовать по умолчанию. Если этот параметр включен, получить доступ к чьей-либо системе намного сложнее.

Иногда два фактора могут быть ненадежными (например, если вы слишком медленны для аутентификатора), но в целом это долгожданное дополнение к любому менеджеру рабочего стола Linux.