Bir Orada bir olmuştur benzer soru ama benim istediğim bu değil.
Şifremi VE google kimlik doğrulayıcı kullanarak kimlik doğrulamamı sağlayan lightdm veya gdm için bir eklenti veya eklenti olup olmadığını bilmek istiyorum. Yerel masaüstünüze erişmek için GA kodunuzu masaüstü girişine (GUI veya komut satırı, kabuk girişi) girmekten bahsediyorum.
Yanıtlar:
Şu blog başlığına bir göz atın: Masaüstünüzde Google İki Adımlı Kimlik Doğrulaması Nedir?
sudo apt-get install libpam-google-authenticator
google-authenticator
Blog gönderisine göre, dahil edilen PAM modülünü ortamınıza eklediğinizde Google Şifrematik'ten yararlanabilecek 2 faktörlü kimlik doğrulaması içeren bir lightdm-kde sürümü var.
auth required pam_google_authenticator.so
GUI giriş sonuçlarınız şöyle görünür:
Google Şifrematik PAM modülünü şu şekilde yükleyin:
sudo apt-get install libpam-google-authenticator
Şimdi google-authenticatorGoogle Şifrematik'i kullanmak istediğiniz her kullanıcı için (bir terminalin içinde) çalıştırın ve talimatları izleyin. Akıllı telefonunuzla (veya bir bağlantıyla) ve acil durum kodlarıyla taramak için bir QR Kodu alırsınız.
Google Şifrematik'i etkinleştirmek için /etc/pam.d/ dizinine bakın . Bilgisayarınızla kimlik doğrulaması yapmak için her yol için bir dosya vardır. Google Şifrematik ile kullanmak istediğiniz her hizmet için yapılandırma dosyalarını düzenlemeniz gerekir. SSH, düzenleme ile kullanmak istiyorsanız sshd Eğer LightDM, düzenleme kullanmak istiyorsanız, lightdm . Bu dosyalara aşağıdaki satırlardan birini ekleyin :
auth required pam_google_authenticator.so nullok
auth required pam_google_authenticator.so
Kullanıcılarınızı Google Şifrematik'e taşırken ilk satırı kullanın. Yapılandırmamış olan kullanıcılar yine de giriş yapabilir. İkinci satır Google Şifrematik kullanımını zorlayacaktır. Sahip olmayan kullanıcılar artık oturum açamıyor. Sshd için, şifrenize kaba kuvvet saldırılarını önlemek için satırı dosyanın üstüne koymanız çok önemlidir .
LightDM'ye eklemek için şunu çalıştırabilirsiniz:
echo "auth required pam_google_authenticator.so nullok" | sudo tee -a /etc/pam.d/lightdm
Şimdi giriş yaptığınızda ayrı olarak şifrenizi ve 2 adımlı kimlik doğrulama kodunu alacaksınız.
Ev şifreleme (ecryptfs) kullanırsanız $ HOME / .google_authenticator dosyası PAM modülü için okunamayacaktır (hala şifrelenmiş olduğu için). Bu durumda, başka bir yere taşımanız ve PAM'a nerede bulacağınızı söylemeniz gerekir. Olası bir çizgi şöyle görünebilir:
auth required pam_google_authenticator.so secret=/home/.ga/${USER}/.google_authenticator
/Home/.ga dosyasında , kullanıcı adına sahip her kullanıcı için bir dizin oluşturmanız ve bu dizinin sahipliğini kullanıcı olarak değiştirmeniz gerekir. Ardından kullanıcı google-authenticatoroluşturulan .google-authenticator dosyasını bu dizine çalıştırabilir ve taşıyabilir. Kullanıcı aşağıdaki satırları çalıştırabilir:
sudo install -g $(id -rgn) -o $USER -m 700 -d /home/.ga/$USER
google-authenticator
mv $HOME/.google_authenticator /home/.ga/$USER
Bu, modülün dosyaya erişmesine izin verecektir.
Diğer seçenekler için README'ye bakın .
Yukarıda açıklandığı gibi yapılandırılmış ssh'de İki Faktörlü kimlik doğrulamayı kullanmak, sisteminizi hala şifrenize olası kaba kuvvet saldırılarına açık bırakır. Bu zaten ilk faktör olan parolanızı tehlikeye atabilir. Yani şahsen ben altta ama değil aşağıdaki satırı ekleyin karar üst arasında /etc/pam.d/sshddaha önce cleary kaydetti değildi olarak dosyaya:
auth required pam_google_authenticator.so
Bu, önce doğrulama kodunuz için, ardından şifreniz için bir istemle sonuçlanır (doğrulama kodunu doğru girip girmediğinize bakılmaksızın). Bu yapılandırmada, doğrulama kodunu veya şifreyi yanlış girerseniz, her ikisini de tekrar girmeniz gerekir. Bunun biraz daha sıkıntı verici olduğuna katılıyorum, ama hey: güvenlik mi yoksa sadece güvenlik duygusu mu istediniz?