Com iniciar sessió al vostre escriptori Linux amb Google Authenticator



Per a més seguretat, podeu requerir un testimoni d'autenticació basat en el temps així com una contrasenya per iniciar sessió al vostre PC Linux. Aquesta solució utilitza Google Authenticator i altres aplicacions TOTP.

Aquest procés es va realitzar a Ubuntu 14.04 amb l'estàndard Escriptori Unity i el gestor d'inici de sessió LightDM, però els principis són els mateixos a la majoria de distribucions i escriptoris de Linux.





Us ho vam mostrar anteriorment com demanar Google Authenticator per a l'accés remot mitjançant SSH , i aquest procés és similar. Això no requereix l'aplicació Google Authenticator, però funciona amb qualsevol aplicació compatible que implementi l'esquema d'autenticació TOTP, inclòs Authy .

Instal·leu el PAM de Google Authenticator

RELACIONATS: Com protegir SSH amb l'autenticació de dos factors de Google Authenticator



Com en configurar-ho per a l'accés SSH, primer haurem d'instal·lar el programari PAM (mòdul d'autenticació connectable) adequat. PAM és un sistema que ens permet connectar diferents tipus de mètodes d'autenticació a un sistema Linux i requerir-los.

A Ubuntu, l'ordre següent instal·larà el PAM de Google Authenticator. Obriu una finestra de terminal, escriviu l'ordre següent, premeu Intro i proporcioneu la vostra contrasenya. El sistema baixarà el PAM dels dipòsits de programari de la vostra distribució de Linux i l'instal·larà:

sudo apt-get install libpam-google-authenticator



Anunci

També esperem que altres distribucions de Linux tinguin aquest paquet disponible per a una instal·lació fàcil: obriu els dipòsits de programari de la vostra distribució de Linux i feu-ne una cerca. En el pitjor dels casos, podeu trobar el codi font del mòdul PAM a GitHub i compila-ho tu mateix.

Com hem assenyalat abans, aquesta solució no depèn de trucar a casa als servidors de Google. Implementa l'algoritme estàndard TOTP i es pot utilitzar fins i tot quan el vostre ordinador no té accés a Internet.

Creeu les vostres claus d'autenticació

Ara haureu de crear una clau d'autenticació secreta i introduir-la a l'aplicació Google Authenticator (o una aplicació similar) al vostre telèfon. Primer, inicieu sessió com a compte d'usuari al vostre sistema Linux. Obriu una finestra de terminal i executeu el fitxer Google-authenticator comandament. Tipus i i seguiu les instruccions aquí. Això crearà un fitxer especial al directori del compte d'usuari actual amb la informació de Google Authenticator.

També se us guiarà pel procés d'aconseguir el codi de verificació de dos factors en un Google Authenticator o una aplicació TOTP similar al vostre telèfon intel·ligent. El vostre sistema pot generar un codi QR que podeu escanejar o podeu escriure'l manualment.

Assegureu-vos d'anotar els vostres codis d'emergència, que podeu utilitzar per iniciar sessió si perdeu el telèfon.

Seguiu aquest procés per a cada compte d'usuari que utilitzi el vostre ordinador. Per exemple, si sou l'única persona que utilitza el vostre ordinador, només podeu fer-ho una vegada al vostre compte d'usuari normal. Si teniu algú més que utilitza el vostre ordinador, voldreu que iniciï sessió al seu propi compte i generi un codi de dos factors adequat per al seu propi compte perquè pugui iniciar sessió.

Activa l'autenticació

Aquí és on les coses es tornen una mica complicades. Quan vam explicar com habilitar dos factors per als inicis de sessió SSH, només ho vam demanar per als inicis de sessió SSH. D'aquesta manera, encara podríeu iniciar sessió localment si perdeu la vostra aplicació d'autenticació o si alguna cosa va sortir malament.

Anunci

Com que habilitarem l'autenticació de dos factors per als inicis de sessió locals, aquí hi ha problemes potencials. Si alguna cosa va malament, és possible que no pugueu iniciar sessió. Tenint això en compte, us guiarem per activar-ho només per a inicis de sessió gràfics. Això us ofereix una escotilla d'escapament si la necessiteu.

Activa Google Authenticator per a inicis de sessió gràfics a Ubuntu

Sempre podeu habilitar l'autenticació en dos passos només per als inicis de sessió gràfics, saltant el requisit quan inicieu sessió des de la sol·licitud de text. Això vol dir que podeu canviar fàcilment a un terminal virtual, iniciar sessió allà i revertir els vostres canvis, de manera que no calgui Gogole Authenciator si teniu cap problema.

Per descomptat, això obre un forat al vostre sistema d'autenticació, però un atacant amb accés físic al vostre sistema ja el pot explotar de totes maneres . És per això que l'autenticació de dos factors és especialment eficaç per als inicis de sessió remots mitjançant SSH.

A continuació s'explica com fer-ho per a Ubuntu, que utilitza el gestor d'inici de sessió LightDM. Obriu el fitxer LightDM per editar-lo amb una ordre com la següent:

sudo gedit /etc/pam.d/lightdm

(Recordeu que aquests passos específics només funcionaran si la vostra distribució de Linux i l'escriptori utilitzen el gestor d'inici de sessió LightDM).

Anunci

Afegiu la línia següent al final del fitxer i després deseu-lo:

autenticació necessària pam_google_authenticator.so nullok

El bit nullok al final diu al sistema que permeti que un usuari iniciï sessió encara que no hagi executat l'ordre google-authenticator per configurar l'autenticació de dos factors. Si l'han configurat, hauran d'introduir un codi basat en el temps; en cas contrari, no ho faran. Elimineu el nullok i els comptes d'usuari que no hagin configurat un codi de Google Authenticator simplement no podran iniciar sessió gràficament.

La propera vegada que un usuari iniciï sessió gràficament, se li demanarà la seva contrasenya i després se li demanarà el codi de verificació actual que es mostra al seu telèfon. Si no introdueixen el codi de verificació, no se'ls permetrà iniciar sessió.

El procés hauria de ser bastant similar per a altres distribucions i escriptoris de Linux, ja que els gestors de sessions d'escriptori Linux més habituals utilitzen PAM. És probable que només haureu d'editar un fitxer diferent amb alguna cosa semblant per activar el mòdul PAM adequat.

Si utilitzeu el xifratge del directori d'inici

Les versions anteriors d'Ubuntu oferien un fàcil opció de xifratge de la carpeta inicial que va xifrar tot el vostre directori d'inici fins que introduïu la vostra contrasenya. Concretament, això utilitza ecryptfs. Tanmateix, com que el programari PAM depèn d'un fitxer Google Authenticator emmagatzemat al vostre directori d'inici de manera predeterminada, el xifratge interfereix amb el PAM que llegeix el fitxer tret que us assegureu que estigui disponible en forma no xifrada al sistema abans d'iniciar la sessió. el README per obtenir més informació sobre com evitar aquest problema si encara utilitzeu les opcions de xifratge del directori d'inici obsoletes.

Anunci

Ofereixen versions modernes d'Ubuntu xifratge de disc complet en canvi, que funcionarà bé amb les opcions anteriors. No has de fer res especial

Ajuda, s'ha trencat!

Com que acabem d'habilitar això per als inicis de sessió gràfics, hauria de ser fàcil de desactivar si causa un problema. Premeu una combinació de tecles com Ctrl + Alt + F2 per accedir a un terminal virtual i inicieu sessió allà amb el vostre nom d'usuari i contrasenya. A continuació, podeu utilitzar una ordre com sudo nano /etc/pam.d/lightdm per obrir el fitxer per editar-lo en un editor de text de terminal. Ús la nostra guia de Nano per eliminar la línia i desar el fitxer, i podreu tornar a iniciar sessió amb normalitat.


També podeu forçar que Google Authenticator sigui necessari per a altres tipus d'inicis de sessió, possiblement fins i tot tots els inicis de sessió del sistema, afegint la línia d'autenticació necessària pam_google_authenticator.so a altres fitxers de configuració PAM. Aneu amb compte si feu això. I recordeu que és possible que vulgueu afegir nullok perquè els usuaris que no hagin passat pel procés de configuració encara puguin iniciar sessió.

Podeu trobar més documentació sobre com utilitzar i configurar aquest mòdul PAM a el fitxer README del programari a GitHub .

LLEGIR A SEGUENT
  • › Què és la protecció contra caigudes MIL-SPEC?
  • › 5 llocs web que cada usuari de Linux hauria de marcar com a favorits
  • › Com trobar el vostre Spotify embolicat 2021
  • › La carpeta de l'ordinador és 40: com la Xerox Star va crear l'escriptori
  • & rsaquo; Cyber ​​Monday 2021: les millors ofertes tecnològiques
  • › Funcions i fórmules a Microsoft Excel: quina diferència hi ha?
Foto de perfil de Chris Hoffman Chris Hoffman
Chris Hoffman és editor en cap de How-To Geek. Ha escrit sobre tecnologia durant més d'una dècada i va ser columnista de PCWorld durant dos anys. Chris ha escrit per a The New York Times, ha estat entrevistat com a expert en tecnologia a cadenes de televisió com NBC 6 de Miami, i ha tingut el seu treball cobert per mitjans de comunicació com la BBC. Des del 2011, Chris ha escrit més de 2.000 articles que s'han llegit gairebé mil milions de vegades, i això és aquí a How-To Geek.
Llegeix la biografia completa

Articles D'Interès