Linux відомий тим, що потрібен пароль, щоб щось робити з основною системою. Саме через це багато хто вважає Linux трохи безпечнішим, ніж більшість операційних систем (хоча жодним чином не ідеальним). Надійний пароль і хороша політика sudoer — це чудово, але це не надійно, а іноді цього недостатньо, щоб захистити вас. Ось чому багато хто в галузі безпеки почали використовувати двофакторну аутентифікацію в Linux
У цій статті ми розповімо, як увімкнути двофакторну аутентифікацію в Linux за допомогою Google Authenticator.
Установка
Використання Google Authenticator можливе завдяки a пам підключати. Використовуйте цей плагін з GDM (та іншими менеджерами настільних комп’ютерів, які його підтримують). Ось як встановити його на свій ПК з Linux.
Примітка. Перш ніж налаштувати цей плагін на вашому ПК з Linux, перейдіть на сторінку Google Play Store (або) Apple App Store і завантажте Google Authenticator, оскільки він є ключовою частиною цього посібника.
Ubuntu
sudo apt install libpam-google-authenticator
Debian
sudo apt-get install libpam-google-authenticator
Arch Linux
Arch Linux за замовчуванням не підтримує модуль аутентифікації pam Google. Натомість користувачам потрібно буде захопити та скомпілювати модуль через пакет AUR. Завантажте останню версію PKGBUILD або наведіть на неї свого улюбленого помічника AUR, щоб він працював.
Fedora
sudo dnf install google-authenticator
OpenSUSE
sudo zypper install google-authenticator-libpam
Інші Linux
Вихідний код версії Google Authenticator для Linux, а також плагін libpam, який використовується в цьому посібнику, легко доступні на Github. Якщо ви використовуєте нетрадиційний дистрибутив Linux, голову сюди і дотримуйтесь інструкцій на сторінці. Інструкції можуть допомогти вам зібрати його з джерела.
Налаштуйте Google Authenticator на Linux
Файл конфігурації потребує редагування, перш ніж pam запрацює з плагіном Google Authentication. Щоб змінити цей файл конфігурації, відкрийте вікно терміналу. Усередині терміналу запустіть:
sudo nano /etc/pam.d/common-auth
У файлі common-auth є на що подивитися. Багато коментарів і приміток щодо того, як система повинна використовувати параметри аутентифікації між службами в Linux. Ігноруйте все це у файлі та прокрутіть униз до «# ось модулі для кожного пакета (блок «Основний»)». Перемістіть курсор під ним за допомогою клавіші зі стрілкою вниз і натисніть клавішу Enter, щоб створити новий рядок. Тоді напишіть це:
auth required pam_google_authenticator.so
Після написання цього нового рядка натисніть CTRL + O, щоб зберегти редагування. Потім натисніть CTRL + X, щоб вийти з Nano.
Далі поверніться в термінал і введіть «google-authenticator». Потім вам буде запропоновано відповісти на деякі запитання.
Перше запитання, яке задає Google Authenticator: «Чи хочете ви, щоб маркери аутентифікації базувалися на часі». Дайте відповідь «так», натиснувши y на клавіатурі.
Після відповіді на це запитання інструмент роздрукує новий секретний ключ разом із деякими кодами екстреної допомоги. Запишіть цей код, оскільки це важливо.
Продовжте і дайте відповідь на наступні три запитання «так», а потім «ні» і «ні».
Останнє запитання, яке задає аутентифікатор, стосується обмеження швидкості. Якщо цей параметр увімкнено, Google Authenticator дозволить лише 3 спроби/невдачі кожні 30 секунд. З міркувань безпеки ми рекомендуємо відповісти «Так», але цілком нормально відповісти «Ні», якщо обмеження швидкості вас не хвилює.
Налаштування Google Authenticator
З боку Linux все працює. Тепер настав час налаштувати програму Google Authenticator, щоб вона працювала з новими налаштуваннями. Щоб почати, відкрийте програму та виберіть опцію «введіть наданий ключ». Відкриється область «ввести дані облікового запису».
У цій області потрібно заповнити дві речі: ім’я ПК, на якому ви використовуєте аутентифікатор, а також секретний ключ, який ви записали раніше. Заповніть обидва ці дані, і Google Authenticator запрацює.
Вхід в систему
Ви налаштували Google Authenticator на Linux, а також свій мобільний пристрій, і все працює разом, як має. Щоб увійти, виберіть користувача в GDM (або LightDM тощо). Відразу після вибору користувача ваша операційна система попросить ввести код аутентифікації. Відкрийте свій мобільний пристрій, перейдіть до Google Authenticator і введіть код, який з’явиться в диспетчері входу.
Якщо код успішно введений, ви зможете ввести пароль користувача.
Примітка: налаштування Google Authenticator в Linux не впливає лише на менеджер входу. Натомість щоразу, коли користувач намагається отримати root-доступ, отримати доступ до привілеїв sudo або зробити щось, що вимагає пароля, потрібен код аутентифікації.
Висновок
Двофакторна аутентифікація безпосередньо підключена до робочого столу Linux додає додатковий рівень безпеки, який має бути там за замовчуванням. Якщо це ввімкнено, отримати доступ до чиєїсь системи набагато важче.
Два фактора іноді можуть бути незрозумілими (наприклад, якщо ви занадто повільні для аутентифікатора), але в цілому це бажане доповнення до будь-якого менеджера робочого столу Linux.