Hvernig á að nota tveggja þátta auðkenningu með Ubuntu

Með tímanum hefur hefðbundin auðkenning notendanafns og lykilorðs reynst ófullnægjandi til að veita öflugu öryggi fyrir forrit og kerfi. Auðvelt er að brjóta notendanöfn og lykilorð með því að nota ofgnótt af innbrotsverkfærum, sem gerir kerfið þitt viðkvæmt fyrir innbrotum. Af þessum sökum þarf hvert fyrirtæki eða aðili sem tekur öryggi alvarlega að innleiða 2-þátta auðkenningu.

Í daglegu tali þekktur sem MFA (Multi-Factor Authentication), 2-Factor Authentication veitir auka lag af öryggi sem krefst þess að notendur gefi upp ákveðnar upplýsingar eins og kóða eða OTP (One Time Password) fyrir eða eftir auðkenningu með venjulegu notendanafni og lykilorði.

Nú á dögum bjóða mörg fyrirtæki eins og Google, Facebook, Twitter og AWS, til að nefna nokkur, notendum val um að setja upp MFA til að vernda reikninga sína enn frekar.

Í þessari handbók sýnum við hvernig þú getur notað tveggja þátta auðkenningu með Ubuntu.

Skref 1: Settu upp PAM pakka Google

Fyrst skaltu setja upp Google PAM pakkann. PAM, skammstöfun fyrir Pluggable Authentication Module, er vélbúnaður sem veitir aukið lög af auðkenningu á Linux pallinum.

Pakkinn er hýstur á Ubuntu geymslunni, svo haltu áfram og notaðu apt skipunina til að setja hana upp sem hér segir:

$ sudo apt install libpam-google-authenticator

Þegar beðið er um það, ýttu á Y og ýttu á ENTER til að halda áfram með uppsetninguna.

Skref 2: Settu upp Google Authenticator forritið á snjallsímanum þínum

Að auki þarftu að setja upp Google Authenticator forritið á spjaldtölvunni eða snjallsímanum. Forritið mun kynna þér 6 stafa OTP kóða sem endurnýjast sjálfkrafa á 30 sekúndna fresti.

Skref 3: Stilltu Google PAM í Ubuntu

Með Google Authenticator appið til staðar munum við halda áfram og stilla Google PAM pakkann á Ubuntu með því að breyta /etc/pam.d/common-auth skránni eins og sýnt er.

$ sudo vim /etc/pam.d/common-auth

Bættu línunni hér að neðan við skrána eins og tilgreint er.

auth required pam_google_authenticator.so

Vistaðu skrána og hættu.

Keyrðu nú skipunina hér að neðan til að frumstilla PAM.

$ google-authenticator

Þetta mun kalla fram nokkrar spurningar á flugstöðinni þinni. Í fyrsta lagi verður þú spurður hvort þú viljir að auðkenningartákn séu tímabundin.

Tímatengd auðkenningartákn renna út eftir ákveðinn tíma. Sjálfgefið er að þetta sé eftir 30 sekúndur, þar sem nýtt sett af táknum er búið til. Þessi tákn eru talin öruggari en ekki tímatengd tákn og því skaltu slá inn y fyrir já og ýta á ENTER.

Næst mun QR kóða birtast á flugstöðinni eins og sýnt er hér að neðan og rétt fyrir neðan hann munu einhverjar upplýsingar birtast. Upplýsingarnar sem birtast innihalda:

  • Leynilykill
  • Staðfestingarkóði
  • Neyðarklóðarkóðar

Þú þarft að vista þessar upplýsingar í hvelfingu til síðari viðmiðunar. Neyðarklóarkóðarnir eru afar gagnlegir ef þú týnir auðkenningartækinu þínu. Ef eitthvað gerist við auðkenningartækið þitt skaltu nota kóðana.

Ræstu Google Authenticator appið á snjalltækinu þínu og veldu „Skanna QR kóða“ til að skanna QR kóðann sem sýndur er.

ATH: Þú þarft að hámarka flugstöðvargluggann til að skanna allan QR kóðann. Þegar QR kóðinn hefur verið skannaður birtist sex stafa OTP sem breytist á 30 sekúndna fresti í appinu.

Síðan skaltu velja y til að uppfæra Google auðkenningarskrána í heimamöppunni þinni.

Í næstu skilaboðum skaltu takmarka innskráningu við aðeins eina skráningu á 30 sekúndna fresti til að koma í veg fyrir árásir sem gætu komið upp vegna mann-í-miðju árása. Svo veldu y

Í næstu kvaðningu, Veldu n til að banna lengingu tímalengdarinnar sem tekur á tímaskekkju milli netþjóns og biðlara. Þetta er öruggari kosturinn nema þú lendir í áskorunum með lélegri tímasamstillingu.

Og að lokum, virkjaðu taxtatakmörkun við aðeins 3 innskráningartilraunir.

Á þessum tímapunkti höfum við lokið við að innleiða 2-þátta auðkenningaraðgerðina. Reyndar, ef þú keyrir einhverja sudo skipun, verður þú beðinn um staðfestingarkóða sem þú getur fengið frá Google Authenticator appinu.

Þú getur staðfest þetta frekar með því að endurræsa og þegar þú kemur á innskráningarskjáinn verður þú beðinn um að gefa upp staðfestingarkóðann þinn.

Eftir að þú hefur gefið upp kóðann þinn úr Google Authenticator appinu skaltu bara gefa upp lykilorðið þitt til að fá aðgang að kerfinu þínu.

Skref 4: Samþættu SSH við Google Authenticator

Ef þú ætlar að nota SSH með Google PAM einingunni þarftu að samþætta þær tvær. Það eru tvær leiðir til að ná þessu.

Til að virkja auðkenningu SSH lykilorðs fyrir venjulegan notanda skaltu fyrst opna sjálfgefna SSH stillingarskrá.

$ sudo vim /etc/ssh/sshd_config

Og stilltu eftirfarandi eiginleika á „já“ eins og sýnt er

Fyrir rótarnotandann skaltu stilla 'PermitRootLogin' eigindina á .

PermitRootLogin yes

Vistaðu skrána og hættu.

Næst skaltu breyta PAM reglunni fyrir SSH

$ sudo vim /etc/pam.d/sshd

Bættu síðan við eftirfarandi línu

auth   required   pam_google_authenticator.so

Að lokum skaltu endurræsa SSH þjónustuna til að breytingarnar taki gildi.

$ sudo systemctl restart ssh

Í dæminu hér að neðan erum við að skrá okkur inn á Ubuntu kerfið frá Putty biðlaranum.

Ef þú ert að nota auðkenningu með almenningslykil, endurtaktu skrefin hér að ofan og bættu við línunni sem sýnd er neðst í /etc/ssh/sshd_config skránni.

AuthenticationMethods publickey,keyboard-interactive

Enn og aftur, breyttu PAM reglunni fyrir SSH púkann.

$ sudo vim /etc/pam.d/sshd

Bættu síðan við eftirfarandi línu.

auth   required   pam_google_authenticator.so

Vistaðu skrána og endurræstu SSH þjónustuna eins og við sáum áðan.

$ sudo systemctl restart ssh

Slökktu á tveggja þátta auðkenningu í Ubuntu

Ef þú týnir auðkenningartækinu þínu eða leynilyklinum skaltu ekki verða vitlaus. Þú getur auðveldlega slökkt á 2FA auðkenningarlagið og farið aftur í einfalda notendanafn/lykilorð innskráningaraðferðina.

Fyrst skaltu endurræsa kerfið þitt og ýta á e í fyrstu GRUB færslunni.

Skrunaðu og finndu línuna sem byrjar á linux og endar með rólegu skvettu $vt_handoff. Bættu við línunni systemd.unit=rescue.target og ýttu á ctrl+x til að fara í björgunarham

Þegar þú hefur fengið skelina skaltu gefa upp rótarlykilorðið og ýta á ENTER.

Næst skaltu halda áfram og eyða .google-authenticator skránni í heimaskránni þinni eins og hér segir. Vertu viss um að skipta út notendanafninu fyrir þitt eigið notendanafn.

# rm /home/username/.google_authenticator

Breyttu síðan /etc/pam.d/common-auth skránni.

# $ vim /etc/pam.d/common-auth

Athugaðu eða eyddu eftirfarandi línu:

auth required pam_google_authenticator.so

Vistaðu skrána og endurræstu kerfið þitt. Á innskráningarskjánum þarftu aðeins að gefa upp notandanafn og lykilorð til að auðkenna.

Og þetta leiðir okkur að lokum þessarar greinar. Það verður gaman að heyra hvernig fór.