Kif tuża l-awtentikazzjoni b'żewġ fatturi ma' Ubuntu
Maż-żmien, l-utent tradizzjonali u l-awtentikazzjoni tal-password wrew li ma kinux adegwati biex jipprovdu sigurtà robusta lill-applikazzjonijiet u s-sistemi. L-ismijiet tal-utent u l-passwords jistgħu faċilment jiġu kkrekkjati bl-użu ta’ għadd kbir ta’ għodod tal-hacking, li jħallu s-sistema tiegħek vulnerabbli għall-ksur. Għal din ir-raġuni, kwalunkwe kumpanija jew entità li tieħu s-sigurtà bis-serjetà teħtieġ li timplimenta l-awtentikazzjoni b'2 Fatturi.
Magħruf b'mod kolokwali bħala MFA (Multi-Factor Authentication), l-awtentikazzjoni b'2-Fatturi tipprovdi saff addizzjonali ta' sigurtà li jeħtieġ li l-utenti jipprovdu ċerti dettalji bħal kodiċijiet, jew OTP (One Time Password) qabel jew wara l-awtentikazzjoni bl-username u l-password tas-soltu.
Illum il-ġurnata kumpaniji multipli bħal Google, Facebook, Twitter, u AWS, biex insemmu xi ftit jipprovdu lill-utenti l-għażla li jwaqqfu MFA biex jipproteġu aktar il-kontijiet tagħhom.
F'din il-gwida, aħna nuru kif tista' tuża l-Awtentikazzjoni b'żewġ Fatturi ma' Ubuntu.
Pass 1: Installa l-Pakkett PAM ta’ Google
L-ewwelnett, installa l-pakkett Google PAM. PAM, abbrevjazzjoni għal Pluggable Authentication Module, hija mekkaniżmu li jipprovdi saff addizzjonali ta 'awtentikazzjoni fuq il-pjattaforma Linux.
Il-pakkett huwa ospitat fuq ir-repożitorju Ubuntu, għalhekk ipproċedi u uża l-kmand apt biex tinstallah kif ġej:
$ sudo apt install libpam-google-authenticator
Meta tintalab, agħfas Y u agħfas ENTER biex tkompli bl-installazzjoni.
Pass 2: Installa Google Authenticator App fuq Smartphone Tiegħek
Barra minn hekk, trid tinstalla l-applikazzjoni Google Authenticator fuq it-tablet jew l-ismartphone tiegħek. L-app tippreżentalek kodiċi OTP b'6 ċifri li jġedded awtomatikament kull 30 sekonda.
Pass 3: Ikkonfigura Google PAM f'Ubuntu
Bl-app Google Authenticator f'postha, aħna nipproċedu u kkonfiguraw il-pakkett Google PAM fuq Ubuntu billi timmodifika l-fajl /etc/pam.d/common-auth kif muri.
$ sudo vim /etc/pam.d/common-auth
Ehmeż il-linja hawn taħt mal-fajl kif indikat.
auth required pam_google_authenticator.so
Issejvja l-fajl u oħroġ.
Issa, mexxi l-kmand hawn taħt biex initialize PAM.
$ google-authenticator
Dan se jevoka ftit mistoqsijiet fuq l-iskrin tat-terminal tiegħek. L-ewwel, inti tiġi mistoqsi jekk tridx li t-tokens tal-awtentikazzjoni jkunu bbażati fuq il-ħin.
It-tokens tal-awtentikazzjoni bbażati fuq il-ħin jiskadu wara ċertu żmien. B'mod awtomatiku, dan huwa wara 30 sek, li fuqhom jiġi ġġenerat sett ġdid ta 'tokens. Dawn it-tokens huma kkunsidrati aktar siguri minn tokens mhux ibbażati fuq il-ħin, u għalhekk, ittajpja y għal iva u agħfas ENTER.
Sussegwentement, se jintwera kodiċi QR fuq it-terminal kif muri hawn taħt u dritt taħtu, se tintwera xi informazzjoni. L-informazzjoni murija tinkludi:
- Ċavetta sigrieta
- Kodiċi ta' verifika
- Kodiċi ta' scratch ta' emerġenza
Għandek bżonn tissejvja din l-informazzjoni f'kaxxa-forti għal referenza futura. Il-kodiċi scratch ta 'emerġenza huma estremament utli fil-każ li titlef l-apparat awtentikatur tiegħek. Jekk jiġri xi ħaġa lill-apparat ta 'awtentikazzjoni tiegħek, uża l-kodiċi.
Ibda l-Google Authenticator App fuq it-tagħmir intelliġenti tiegħek u agħżel ‘Scan QR code’ biex tiskennja l-QR code ippreżentat.
NOTA: Għandek bżonn timmassimizza t-tieqa tat-terminal sabiex tiskennja l-kodiċi QR kollu. Ladarba l-kodiċi QR jiġi skannjat, OTP b'sitt ċifri li jinbidel kull 30 sekonda se jintwera fuq l-App.
Minn hemm 'il quddiem, Agħżel y biex taġġorna l-fajl Google awtentikatur fil-folder tad-dar tiegħek.
Fil-pront li jmiss, illimita l-login għal log wieħed biss f'kull 30 sekonda sabiex tevita attakki li jistgħu jinqalgħu minħabba attakki man-in-the-middle. Allura agħżel y
Fil-pront li jmiss, Agħżel n biex ma tħallix l-estensjoni tat-tul tal-ħin li tindirizza l-iskeda tal-ħin bejn is-server u l-klijent. Din hija l-aktar għażla sigura sakemm ma tkunx qed tesperjenza sfidi b'sinkronizzazzjoni fqira tal-ħin.
U fl-aħħarnett, ppermetti l-limitazzjoni tar-rata għal 3 tentattivi ta' login biss.
F'dan il-punt, lestejna nimplimentaw il-karatteristika ta 'awtentikazzjoni ta' 2 fatturi. Fil-fatt, jekk tmexxi xi kmand sudo, tkun imħeġġeġ għal kodiċi ta 'verifika li tista' tikseb mill-app Google Authenticator.
Tista' tkompli tivverifika dan billi terġa' tibda u ladarba tasal fl-iskrin tal-login, tintalab tipprovdi l-kodiċi ta' verifika tiegħek.
Wara li tkun ipprovejt il-kodiċi tiegħek mill-app Google Authenticator, ipprovdi biss il-password tiegħek biex taċċessa s-sistema tiegħek.
Pass 4: Integra SSH ma 'Google Authenticator
Jekk għandek il-ħsieb li tuża SSH mal-modulu Google PAM, għandek bżonn tintegra t-tnejn. Hemm żewġ modi kif tista 'tikseb dan.
Biex tippermetti l-awtentikazzjoni tal-password SSH għal utent regolari, l-ewwel, iftaħ il-fajl tal-konfigurazzjoni SSH default.
$ sudo vim /etc/ssh/sshd_config
U ssettja l-attributi li ġejjin għal iva kif muri
Għall-utent root, issettja l-attribut 'PermitRootLogin' għal iva.
PermitRootLogin yes
Issejvja l-fajl u oħroġ.
Sussegwentement, immodifika r-regola PAM għal SSH
$ sudo vim /etc/pam.d/sshd
Imbagħad waħħal il-linja li ġejja
auth required pam_google_authenticator.so
Fl-aħħar nett, ibda mill-ġdid is-servizz SSH biex il-bidliet jidħlu fis-seħħ.
$ sudo systemctl restart ssh
Fl-eżempju hawn taħt, qed nilloggjaw fis-sistema Ubuntu mill-klijent Putty.
Jekk qed tuża awtentikazzjoni taċ-ċavetta pubblika, irrepeti l-passi ta 'hawn fuq u żid il-linja murija fil-qiegħ tal-fajl /etc/ssh/sshd_config.
AuthenticationMethods publickey,keyboard-interactive
Għal darb'oħra, editja r-regola PAM għad-daemon SSH.
$ sudo vim /etc/pam.d/sshd
Imbagħad żid il-linja li ġejja.
auth required pam_google_authenticator.so
Issejvja l-fajl u erġa ibda s-servizz SSH kif rajna qabel.
$ sudo systemctl restart ssh
Iddiżattiva l-Awtentikazzjoni b'żewġ Fatturi f'Ubuntu
Fil-każ li titlef l-apparat ta 'awtentikazzjoni tiegħek jew iċ-ċavetta sigrieta tiegħek, tmurx nuts. Tista 'faċilment tiddiżattiva s-saff ta' awtentikazzjoni 2FA u tmur lura għall-metodu ta 'login sempliċi tal-username/password tiegħek.
L-ewwel, ibda mill-ġdid is-sistema tiegħek u agħfas e fuq l-ewwel entrata GRUB.
Skrollja u sib il-linja li tibda bil-linux u tispiċċa bi splash kwiet $vt_handoff. Waħħal il-linja systemd.unit=rescue.target u agħfas ctrl+x biex tidħol fil-modalità ta' salvataġġ
Ladarba tikseb il-qoxra, ipprovdi l-password tal-għerq u agħfas ENTER.
Sussegwentement, ipproċedi u ħassar il-fajl .google-authenticator fid-direttorju tad-dar tiegħek kif ġej. Kun żgur li tissostitwixxi l-isem tal-utent bl-isem tal-utent tiegħek stess.
# rm /home/username/.google_authenticator
Imbagħad editja l-fajl /etc/pam.d/common-auth.
# $ vim /etc/pam.d/common-auth
Ikkummenta jew ħassar il-linja li ġejja:
auth required pam_google_authenticator.so
Issejvja l-fajl u reboot is-sistema tiegħek. Fuq l-iskrin tal-login, inti tkun mitlub biss tipprovdi l-username u l-password tiegħek biex tawtentika.
U dan iwassalna għall-aħħar ta 'dan l-artikolu. Se nkunu ferħanin nisimgħu kif marret.