Kuidas kasutada kahefaktorilist autentimist Ubuntu abil


Aja jooksul on traditsiooniline kasutajanime ja parooli autentimine osutunud rakenduste ja süsteemide tugeva turvalisuse tagamiseks ebapiisavaks. Paljude häkkimistööriistade abil saab kasutajanimesid ja paroole hõlpsalt murda, jättes teie süsteemi rikkumiste suhtes haavatavaks. Sel põhjusel peab iga ettevõte või üksus, kes võtab turvalisust tõsiselt, rakendama kahefaktorilise autentimise.

Kõnekeeles tuntud kui MFA (mitme teguriga autentimine), pakub kahefaktoriline autentimine täiendava turvakihi, mis nõuab kasutajatelt teatud andmete üksikasjade, näiteks koodide või OTP (ühekordne parool) esitamist enne või pärast tavapärase kasutajanime ja parooliga autentimist.

Tänapäeval pakuvad mitmed ettevõtted, näiteks Google, Facebook, Twitter ja AWS, mõned neist kasutajatele võimalust valida oma kontode täiendavaks kaitsmiseks MFA.

Selles juhendis demonstreerime, kuidas saate Ubuntuga kasutada kahefaktorilist autentimist.

1. samm: installige Google'i PAM-pakett

Kõigepealt installige Google PAM-i pakett. Pluggable Authentication Module'i lühend PAM on mehhanism, mis pakub Linuxi platvormil täiendava autentimiskihi.

Pakett on hostitud Ubuntu hoidlas, nii et jätkake ja kasutage selle installimiseks käsku apt järgmiselt:

$ sudo apt install libpam-google-authenticator

Kui küsitakse, vajutage installimise jätkamiseks nuppu Y ja vajutage sisestusklahvi ENTER.

2. samm: installige nutitelefoni rakendus Google Authenticator

Lisaks peate oma tahvelarvutisse või nutitelefoni installima rakenduse Google Authenticator. Rakendus esitab teile 6-kohalise OTP-koodi, mida uuendatakse automaatselt iga 30 sekundi järel.

3. samm: konfigureerige Google PAM Ubuntu

Kui Google Authenticatori rakendus on paigas, jätkame ja konfigureerime Ubuntu Google PAM-i paketi, muutes faili /etc/pam.d/common-auth, nagu näidatud.

$ sudo vim /etc/pam.d/common-auth

Lisage allolev rida failile, nagu näidatud.

auth required pam_google_authenticator.so

Salvestage fail ja väljuge.

Nüüd käivitage PAM-i lähtestamiseks järgmine käsk.

$ google-authenticator

See tekitab teie terminali ekraanil paar küsimust. Esiteks küsitakse teilt, kas soovite, et autentimismärgid oleksid ajapõhised.

Ajapõhised autentimismärgid aeguvad teatud aja möödudes. Vaikimisi toimub see pärast 30 sekundit, mille järel luuakse uus märkide komplekt. Neid märke peetakse turvalisemaks kui mitte-ajapõhiseid märke ja seepärast tippige jah-i y ja vajutage sisestusklahvi ENTER.

Järgmisena kuvatakse terminalis QR-kood, nagu on näidatud allpool ja otse selle all, kuvatakse osa teavet. Kuvatav teave sisaldab järgmist:

  • Salajane võti
  • kinnituskood
  • hädaolukorra kriimukoodid

Hilisemaks kasutamiseks peate selle teabe salvestama varahoidlasse. Hädaolukorra kriimukoodid on äärmiselt kasulikud juhul, kui kaotate oma autentimisseadme. Kui teie autentimisseadmega peaks midagi juhtuma, kasutage koode.

Käivitage nutiseadmes rakendus Google Authenticator ja esitatava QR-koodi skannimiseks valige käsk „Skaneeri QR-kood”.

MÄRKUS. Kogu QR-koodi skannimiseks peate terminaliakna maksimeerima. Kui QR-kood on skannitud, kuvatakse rakenduses kuuekohaline OTP, mis muutub iga 30 sekundi järel.

Seejärel valige y , et värskendada oma kodukataloogis asuvat Google'i autentimisfaili.

Järgmises viites piirake sisselogimist ainult ühe logiga iga 30 sekundi tagant, et vältida rünnakuid, mis võivad tekkida keskeltläbi rünnakute tõttu. Seega valige y

Järgmises viites valige n , et keelata aja kestuse pikendamine, mis käsitleb serveri ja kliendi vahelist ajalist nihet. See on turvalisem valik, kui teil pole halva aja sünkroonimisega probleeme.

Ja lõpuks lubage kiiruse piiramine ainult 3 sisselogimiskatsega.

Siinkohal oleme kahefaktorilise autentimise funktsiooni juurutamise lõpetanud. Tegelikult, kui käivitate mõne sudo käsu, palutakse teil sisestada kinnituskood, mille saate hankida rakendusest Google Authenticator.

Saate seda uuesti taaskäivitada ja pärast sisselogimisekraani jõudmist palutakse teil sisestada oma kinnituskood.

Kui olete oma rakenduse Google Authenticator koodi sisestanud, sisestage süsteemile juurdepääsemiseks lihtsalt oma parool.

4. samm: integreerige SSH Google Authenticatoriga

Kui kavatsete kasutada SSH-d Google PAM-mooduliga, peate need kaks integreerima. Selle saavutamiseks on kaks võimalust.

Tavakasutaja SSH parooli autentimise lubamiseks avage kõigepealt SSH vaikekonfiguratsioonifail.

$ sudo vim /etc/ssh/sshd_config

Ja määrake järgnevatele atribuutidele „jah”, nagu näidatud

Juurikasutaja jaoks määrake atribuut ‘PermitRootLogin’ väärtusele yes .

PermitRootLogin yes

Salvestage fail ja väljuge.

Järgmisena muutke SSH-i PAM-reeglit

$ sudo vim /etc/pam.d/sshd

Seejärel lisage järgmine rida

auth   required   pam_google_authenticator.so

Lõpuks taaskäivitage SSH-teenus muudatuste jõustumiseks.

$ sudo systemctl restart ssh

Allolevas näites logime Putty kliendist sisse Ubuntu süsteemi.

Kui kasutate avaliku võtme autentimist, korrake ülaltoodud samme ja lisage faili/etc/ssh/sshd_config allservas näidatud rida.

AuthenticationMethods publickey,keyboard-interactive

Veelkord muutke SSH-deemoni PAM-reeglit.

$ sudo vim /etc/pam.d/sshd

Seejärel lisage järgmine rida.

auth   required   pam_google_authenticator.so

Salvestage fail ja taaskäivitage SSH-teenus nagu varem nägime.

$ sudo systemctl restart ssh

Keelake Ubuntu kahefaktoriline autentimine

Kui kaotate oma autentimisseadme või salajase võtme, ärge jätke pähe. 2FA autentimiskihi saate hõlpsalt keelata ja minna tagasi oma lihtsa kasutajanime/parooli sisselogimismeetodi juurde.

Kõigepealt taaskäivitage süsteem ja vajutage esimesel GRUB-sisestusel e .

Kerige ja leidke rida, mis algab linuxiga ja lõpeb vaikse pritsimisega $vt_handoff. Lisage päästerežiimi sisenemiseks rida systemd.unit = rescue.target ja vajutage klahvikombinatsiooni Ctrl + x

Kui shell on hankitud, sisestage juurparool ja vajutage sisestusklahvi (ENTER).

Järgmisena jätkake ja kustutage oma kodukataloogist .google-autentija fail järgmiselt. Asendage kasutajanimi kindlasti oma kasutajanimega.

# rm /home/username/.google_authenticator

Seejärel muutke faili /etc/pam.d/common-auth.

# $ vim /etc/pam.d/common-auth

Kommenteerige või kustutage järgmine rida:

auth required pam_google_authenticator.so

Salvestage fail ja taaskäivitage süsteem. Sisselogimiskuval peate autentimiseks sisestama ainult oma kasutajanime ja parooli.

Ja see viib meid selle artikli lõppu. Meil on hea meel kuulda, kuidas see läks.