Ovaj je proces izvršen na Ubuntu 14.04 standardnim Unity desktop i LightDM upraviteljem za prijavu, ali načela su isti na većini Linux distribucija i stolnih računala.
Prethodno smo vam pokazali kako zahtijevati Google Autentifikator za daljinski pristup putem SSH-a, a taj je postupak sličan. To ne zahtijeva aplikaciju Google autentifikator, već radi s bilo kojom kompatibilnom aplikacijom koja implementira shemu provjere autentičnosti TOTP, uključujući Authy.
Instalirajte Google Authenticator PAM
Kao pri postavljanju ovog za SSH pristup, prvo moramo instalirati odgovarajući PAM (modul "plug-in autentifikacijskog modula"). PAM je sustav koji nam omogućava priključivanje različitih vrsta metoda provjere autentičnosti u Linux sustav i zahtijevati ih.
Na Ubuntu će sljedeća naredba instalirati Google Authenticator PAM. Otvorite prozor terminala, upišite sljedeću naredbu, pritisnite Enter i unesite svoju lozinku. Sustav će preuzeti PAM iz softverskih repozitorija Linux distribucije i instalirati ga:
sudo apt-get install libpam-google-authenticator
Kao što smo ranije istaknuli, ovo rješenje ne ovisi o "telefoniranju doma" Googleovim poslužiteljima. Primjenjuje standardni TOTP algoritam i može se koristiti čak i kada vaše računalo nema pristup internetu.
Izradite ključeve za autentifikaciju
Sada morate stvoriti tajni ključ za provjeru autentičnosti i unijeti je u aplikaciju Google autentifikator (ili slično) na telefonu. Prvo se prijavite kao korisnički račun na Linux sustavu. Otvorite terminalni prozor i pokrenite Google-autentikator naredba. Tip y i slijedite upute ovdje. Time će se stvoriti posebna datoteka u direktoriju trenutnog korisničkog računa s informacijama Google autentifikatora.
Obavezno zabilježite kôdove ogrebotina za izvanredne situacije kojima možete prijaviti ako izgubite telefon.
Aktivirajte autentifikaciju
Evo gdje stvari postaju malo šljunčane. Kada smo objasnili kako omogućiti dva faktora za SSH prijave, tražili smo ga samo za SSH prijave. To je omogućilo da se i dalje možete prijaviti lokalno ako ste izgubili aplikaciju za provjeru autentičnosti ili ako je nešto pošlo po zlu.
Budući da ćemo omogućiti autentifikaciju s dva faktora za lokalne prijave, ovdje postoje potencijalni problemi. Ako nešto pođe krivo, možda se nećete moći prijaviti. Imajući to na umu, prošetat ćemo vam ako to omogućite samo za grafičke prijave. Ovo vam daje utočište za bijeg ako vam je potrebna.
Omogućite Google autentifikator za grafičke prijave na Ubuntu
Uvijek možete omogućiti autentifikaciju u dva koraka samo za grafičke prijave, preskačući zahtjev prilikom prijave iz tekstualnog zahtjeva. To znači da se možete jednostavno prebaciti na virtualni terminal, prijaviti se i vratiti promjene tako da Gogole Authenciator ne bi bio potreban ako dođe do problema.
Naravno, ovo otvara rupu u sustavu provjere autentičnosti, ali napadač s fizičkim pristupom vašem sustavu već ionako može iskoristiti. Zato je autentikacija s dva faktora posebno učinkovita za daljinske prijave putem SSH.
Evo kako to učiniti za Ubuntu, koji koristi upravljač za prijavu LightDM-a. Otvorite datoteku LightDM za uređivanje pomoću naredbe poput sljedećeg:
sudo gedit /etc/pam.d/lightdm
(Imajte na umu da će ti konkretni koraci funkcionirati samo ako vaša Linux distribucija i radna površina koriste LightDM upravitelja za prijavu.)
auth required pam_google_authenticator.so nullok
"Nullok" bit na kraju govori da sustav dopusti korisniku da se prijavljuje čak i ako nisu pokrenuli naredbu google-autentifikatora da bi postavili autentifikaciju s dva faktora. Ako su ga postavili, morat će unijeti vrijeme-baesd kod - inače neće. Uklonite "nullok" i korisničke račune koji nisu postavili kôd Google autentifikatora jer se neće moći jednostavno prijaviti.
Ako koristite šifriranje kućnog imenika
Starija izdanja Ubuntua ponudila su jednostavnu opciju "enkripcije domene mape" koja je šifrirala vaš cijeli kućni imenik sve dok ne unesete zaporku. Točnije, to koristi ecryptfs. Međutim, budući da softver PAM prema zadanim postavkama ovisi o datoteci Google autentifikatora pohranjen u vašem kućnom imeniku, šifriranje ometa PAM čitanje datoteke, osim ako ne provjerite je li dostupan u nekriptiranom obliku u sustavu prije prijave. Posavjetujte se s README-om za više informacija informacije o izbjegavanju ovog problema ako još uvijek koristite opcije za šifriranje starijih domena.
Suvremene verzije Ubuntua nude umjesto toga šifriranje cijelog diska, što će raditi u skladu s gore navedenim opcijama. Ne morate ništa učiniti posebnima
Pomoć, razbijena!
Budući da smo to samo omogućili za grafičke prijave, trebao bi biti lako onemogućiti ako uzrokuje problem. Pritisnite kombinaciju tipki kao što je Ctrl + Alt + F2 da biste pristupili virtualnom terminalu i prijavili se tamo s korisničkim imenom i zaporkom. Zatim možete upotrijebiti naredbu poput sudo nano /etc/pam.d/lightdm da biste otvorili datoteku za uređivanje u uređivaču tekstualnih terminala. Upotrijebite naš vodič za Nano da biste uklonili liniju i spremili datoteku te ćete se ponovo moći normalno prijaviti.
Daljnja dokumentacija o korištenju i postavljanju ovog PAM modula nalazi se u README datoteci softvera na GitHubu.
