Kuidas kasutada kahefaktorilist autentimist Ubuntu abil
Aja jooksul on traditsiooniline kasutajanime ja parooli autentimine osutunud rakenduste ja süsteemide tugeva turvalisuse tagamiseks ebapiisavaks. Paljude häkkimistööriistade abil saab kasutajanimesid ja paroole hõlpsalt murda, jättes teie süsteemi rikkumiste suhtes haavatavaks. Sel põhjusel peab iga ettevõte või üksus, kes võtab turvalisust tõsiselt, rakendama kahefaktorilise autentimise.
Kõnekeeles tuntud kui MFA (mitme teguriga autentimine), pakub kahefaktoriline autentimine täiendava turvakihi, mis nõuab kasutajatelt teatud andmete üksikasjade, näiteks koodide või OTP (ühekordne parool) esitamist enne või pärast tavapärase kasutajanime ja parooliga autentimist.
Tänapäeval pakuvad mitmed ettevõtted, näiteks Google, Facebook, Twitter ja AWS, mõned neist kasutajatele võimalust valida oma kontode täiendavaks kaitsmiseks MFA.
Selles juhendis demonstreerime, kuidas saate Ubuntuga kasutada kahefaktorilist autentimist.
1. samm: installige Google'i PAM-pakett
Kõigepealt installige Google PAM-i pakett. Pluggable Authentication Module'i lühend PAM on mehhanism, mis pakub Linuxi platvormil täiendava autentimiskihi.
Pakett on hostitud Ubuntu hoidlas, nii et jätkake ja kasutage selle installimiseks käsku apt järgmiselt:
$ sudo apt install libpam-google-authenticator
Kui küsitakse, vajutage installimise jätkamiseks nuppu Y
ja vajutage sisestusklahvi ENTER.
2. samm: installige nutitelefoni rakendus Google Authenticator
Lisaks peate oma tahvelarvutisse või nutitelefoni installima rakenduse Google Authenticator. Rakendus esitab teile 6-kohalise OTP-koodi, mida uuendatakse automaatselt iga 30 sekundi järel.
3. samm: konfigureerige Google PAM Ubuntu
Kui Google Authenticatori rakendus on paigas, jätkame ja konfigureerime Ubuntu Google PAM-i paketi, muutes faili /etc/pam.d/common-auth, nagu näidatud.
$ sudo vim /etc/pam.d/common-auth
Lisage allolev rida failile, nagu näidatud.
auth required pam_google_authenticator.so
Salvestage fail ja väljuge.
Nüüd käivitage PAM-i lähtestamiseks järgmine käsk.
$ google-authenticator
See tekitab teie terminali ekraanil paar küsimust. Esiteks küsitakse teilt, kas soovite, et autentimismärgid oleksid ajapõhised.
Ajapõhised autentimismärgid aeguvad teatud aja möödudes. Vaikimisi toimub see pärast 30 sekundit, mille järel luuakse uus märkide komplekt. Neid märke peetakse turvalisemaks kui mitte-ajapõhiseid märke ja seepärast tippige jah-i y
ja vajutage sisestusklahvi ENTER.
Järgmisena kuvatakse terminalis QR-kood, nagu on näidatud allpool ja otse selle all, kuvatakse osa teavet. Kuvatav teave sisaldab järgmist:
- Salajane võti
- kinnituskood
- hädaolukorra kriimukoodid
Hilisemaks kasutamiseks peate selle teabe salvestama varahoidlasse. Hädaolukorra kriimukoodid on äärmiselt kasulikud juhul, kui kaotate oma autentimisseadme. Kui teie autentimisseadmega peaks midagi juhtuma, kasutage koode.
Käivitage nutiseadmes rakendus Google Authenticator ja esitatava QR-koodi skannimiseks valige käsk „Skaneeri QR-kood”.
MÄRKUS. Kogu QR-koodi skannimiseks peate terminaliakna maksimeerima. Kui QR-kood on skannitud, kuvatakse rakenduses kuuekohaline OTP, mis muutub iga 30 sekundi järel.
Seejärel valige y
, et värskendada oma kodukataloogis asuvat Google'i autentimisfaili.
Järgmises viites piirake sisselogimist ainult ühe logiga iga 30 sekundi tagant, et vältida rünnakuid, mis võivad tekkida keskeltläbi rünnakute tõttu. Seega valige y
Järgmises viites valige n
, et keelata aja kestuse pikendamine, mis käsitleb serveri ja kliendi vahelist ajalist nihet. See on turvalisem valik, kui teil pole halva aja sünkroonimisega probleeme.
Ja lõpuks lubage kiiruse piiramine ainult 3 sisselogimiskatsega.
Siinkohal oleme kahefaktorilise autentimise funktsiooni juurutamise lõpetanud. Tegelikult, kui käivitate mõne sudo käsu, palutakse teil sisestada kinnituskood, mille saate hankida rakendusest Google Authenticator.
Saate seda uuesti taaskäivitada ja pärast sisselogimisekraani jõudmist palutakse teil sisestada oma kinnituskood.
Kui olete oma rakenduse Google Authenticator koodi sisestanud, sisestage süsteemile juurdepääsemiseks lihtsalt oma parool.
4. samm: integreerige SSH Google Authenticatoriga
Kui kavatsete kasutada SSH-d Google PAM-mooduliga, peate need kaks integreerima. Selle saavutamiseks on kaks võimalust.
Tavakasutaja SSH parooli autentimise lubamiseks avage kõigepealt SSH vaikekonfiguratsioonifail.
$ sudo vim /etc/ssh/sshd_config
Ja määrake järgnevatele atribuutidele „jah”, nagu näidatud
Juurikasutaja jaoks määrake atribuut ‘PermitRootLogin’ väärtusele yes
.
PermitRootLogin yes
Salvestage fail ja väljuge.
Järgmisena muutke SSH-i PAM-reeglit
$ sudo vim /etc/pam.d/sshd
Seejärel lisage järgmine rida
auth required pam_google_authenticator.so
Lõpuks taaskäivitage SSH-teenus muudatuste jõustumiseks.
$ sudo systemctl restart ssh
Allolevas näites logime Putty kliendist sisse Ubuntu süsteemi.
Kui kasutate avaliku võtme autentimist, korrake ülaltoodud samme ja lisage faili/etc/ssh/sshd_config allservas näidatud rida.
AuthenticationMethods publickey,keyboard-interactive
Veelkord muutke SSH-deemoni PAM-reeglit.
$ sudo vim /etc/pam.d/sshd
Seejärel lisage järgmine rida.
auth required pam_google_authenticator.so
Salvestage fail ja taaskäivitage SSH-teenus nagu varem nägime.
$ sudo systemctl restart ssh
Keelake Ubuntu kahefaktoriline autentimine
Kui kaotate oma autentimisseadme või salajase võtme, ärge jätke pähe. 2FA autentimiskihi saate hõlpsalt keelata ja minna tagasi oma lihtsa kasutajanime/parooli sisselogimismeetodi juurde.
Kõigepealt taaskäivitage süsteem ja vajutage esimesel GRUB-sisestusel e
.
Kerige ja leidke rida, mis algab linuxiga ja lõpeb vaikse pritsimisega $vt_handoff. Lisage päästerežiimi sisenemiseks rida systemd.unit = rescue.target ja vajutage klahvikombinatsiooni Ctrl + x
Kui shell on hankitud, sisestage juurparool ja vajutage sisestusklahvi (ENTER).
Järgmisena jätkake ja kustutage oma kodukataloogist .google-autentija fail järgmiselt. Asendage kasutajanimi kindlasti oma kasutajanimega.
# rm /home/username/.google_authenticator
Seejärel muutke faili /etc/pam.d/common-auth.
# $ vim /etc/pam.d/common-auth
Kommenteerige või kustutage järgmine rida:
auth required pam_google_authenticator.so
Salvestage fail ja taaskäivitage süsteem. Sisselogimiskuval peate autentimiseks sisestama ainult oma kasutajanime ja parooli.
Ja see viib meid selle artikli lõppu. Meil on hea meel kuulda, kuidas see läks.