Google kimlik doğrulayıcı kullanan Ubuntu kullanıcıları için Ubuntu'da iki faktörlü kimlik doğrulama nasıl kurulur?


Yanıtlar:


16

Not: Bir kullanıcı için 2 faktörlü kimlik doğrulamayı etkinleştirdikten ve kök için aynı ayarı yapmadığınızda, asla doğrudan kök olarak Giriş yapamazsınız. Böyle bir durumda, yolunu ayarladığımız diğer sudo kullanıcılarını kullanmak ve daha sonra sudo su -kök kullanıcıya geçmek için kullanmaktır .


Ayarlamak için aşağıdaki adımları kullanın.

  1. PAM kimlik doğrulaması ile eklenti olarak kullanacağımız Google kimlik doğrulayıcısını yüklemek için aşağıdaki paketi yükleyin:

    sudo apt-get install libpam-google-authenticator
    
  2. Şimdi /etc/pam.d/sshdbu dosyayı düzenleyin ve Google Şifrematik'i aşağıda belirtildiği şekilde ekleyin:

    *sudo vim /etc/pam.d/sshd
    

    bu dosyanın en altına aşağıya girin-

    auth required pam_google_authenticator.so
    
  3. Burada, /etc/ssh/sshd_configssh'ın Google Şifrematik'i kullanmasını sağlamak için değişiklikler yapmak zorundayız , bu şekilde ssh'ın iki faktörlü kimlik doğrulamayı kullanmasını sağlıyoruz.

    vim /etc/ssh/sshd_config
    

    Bu dosyada, ChallengeResponseAuthenticationaşağıdaki gibi görünmesi için bulmamız ve açmamız ve / veya değiştirmemiz gerekiyor (kısaca evet olarak ayarlayın: P):

    ChallengeResponseAuthentication yes
    

    Ekstra veya GUI 2 faktörlü kimlik doğrulaması bunu atlayın ve 4. adıma gidin: GUI girişi için etkinleştirmek üzere şunu düzenleyin /etc/pam.d/common-auth:

    sudo vim /etc/pam.d/common-auth
    

    ve şimdi bunu auth required pam_google_authenticator.sosatırın üstüne ekleyin auth [success=1 default=ignore] pam_unix.so nullok_secureve dosyayı kaydedin.

  4. Şimdi kurmak istediğiniz bir hesaba geçin.
    ( Not: Sistemde kök hesap dışında en az iki süper kullanıcı hesabı oluşturmanızı ve en azından bir tanesi için kök hesap için değil, en azından yapılandırmanızı öneririm.)

    sudo su - testuser1
    
  5. Şimdi bunun için iki faktörlü kimlik doğrulamayı ayarlamak için aşağıdaki komutu kullanacağız testuser1:

    google-authenticator
    
  6. Bu komutu çalıştırmak size aşağıdaki soruyu soracaktır. (önerilen cevap Evet)

    Kimlik doğrulama simgelerinin zamana dayalı olmasını istiyor musunuz (y / n) y

  7. Bundan sonra size QR kodu ve Acil Durum Kodları ve diğer birkaç ayrıntı gösterilecektir. Dışarı koymak verilen görüntü aşağıdaki gibi görünmelidir:

    resim açıklamasını buraya girin

  8. Şimdi Google Authenticator Uygulamasını ilgili pazar yerlerinden örneğin Google Play Store'dan indirmek ve yüklemek için Android / Apple / Blackberry telefonunuzu kullanmanız gerekiyor . bu da giriş yapmanız için kod üretecektir.

    Aşağıda uygulama Simgesinin ekran görüntüsü ve uygulama Android telefonundan alınan uygulama bulunmaktadır.

    resim açıklamasını buraya girin resim açıklamasını buraya girin

  9. Uygulamayı telefonunuzda başlatın ve QR Kodunu tarayın veya yukarıdaki ilk ekran görüntüsünde de görebileceğiniz gizli anahtarı ve sistemdeki QR kodunun altında verilen doğrulama kodunu kullanın .

  10. Tüm bunlar yapıldıktan sonra , acil durum kodlarınızı güvenli bir yere not etmek ve kaydetmek çok önemlidir , çünkü bunlar bir şekilde kilitlenmeniz durumunda size yardımcı olabilecek kodlardır.

  11. Bu noktada, ekranın alt kısmına, size aşağıdaki soruyu soran bir yere bakmalısınız. (önerilen cevap Evet):

    "/Home/testuser1/.google_authenticator" dosyanızı güncellememi istiyor musunuz (y / n) y

  12. Yine size bir soru daha soracaktır ve aşağıdaki soru için önerilen cevap da Evet:

    Aynı kimlik doğrulama belirtecinin birden çok kullanımına izin vermek istiyor musunuz? Bu, her 30 saniyede bir giriş yapmanızı kısıtlar, ancak ortadaki adam saldırılarını fark etme veya hatta engelleme şansınızı artırır (y / n) y

  13. Sonraki soru aşağıda verildiği gibi olacaktır ve bunun için önerilen cevap Hayır:

    Varsayılan olarak, jetonlar 30 saniye boyunca iyidir ve istemci ve sunucu arasındaki olası zaman eğriliğini telafi etmek için, geçerli saatten önce ve sonra ekstra bir jetona izin veririz. Zayıf zaman senkronizasyonu ile ilgili sorunlar yaşıyorsanız, pencereyi varsayılan boyut olan 1: 30 dakikadan yaklaşık 4 dakikaya yükseltebilirsiniz. Bunu yapmak istiyor musun (y / n) n

  14. Ve son soru aşağıda verildiği gibi ve bunun için önerilen cevap Evet:

    Giriş yaptığınız bilgisayar kaba-kuvvetli giriş denemelerine karşı sertleştirilmiş değilse, kimlik doğrulama modülü için hız sınırlamayı etkinleştirebilirsiniz. Varsayılan olarak, bu saldırganları her 30 saniyede en fazla 3 giriş denemesiyle sınırlar. Hız sınırlamayı etkinleştirmek istiyor musunuz (y / n) y

  15. Şimdi kök hesaba geri dönmek için bu hesaptan çıkın:

    exit
    
  16. Şimdi ssh hizmetini yeniden başlatın

    service ssh restart
    

Şimdi, ayarladığınız kullanıcı için bir ssh oturumu alın ve önce cep telefonunuzdan girebileceğiniz bir doğrulama kodu isteyecek ve daha sonra bir kullanıcı şifresi isteyecektir.

resim açıklamasını buraya girin

İki faktörlü kimlik doğrulamayı ayarlamak için gereken her şey budur. Lütfen gerektiğinde cevabı geliştirmekten çekinmeyin ve iyi olmayan bir dil için lütfen özür dilerim.


Onu kaldırdığımda, sudo: sudo: PAM kimlik doğrulama hatası ile komut çalıştırdığımda her sorun çıkıyor: Modül bilinmiyor
bagustris

@bagustris "/etc/pam.d/common-auth" dosyasını düzenleyecek ve "auth required pam_google_authenticator.so" girişini kaldıracaksınız. Kaldırdıktan sonra.
Hrish

/etc/pam.d/common-auth düzenlemek için sudo gerekir. Sudo artık çalışmadığından, canlı işletim sistemine ihtiyacım var (veya benim durumumda, Mac OS ile çift önyükleme yaptığım için, yazılabilir izin seti ile OS X'ten düzenleyebilirim).
bagustris

1
@bagustris Kurtarma moduna geçerek bunu yapabilirsiniz.
Hrish

1
2. adımda kullanmak auth optionalyerine makineye erişimi kaybetmemek daha güvenli olacaktır auth required. Aksi takdirde , oturum çökerse ve işlem tamamlanmazsa oturum açmak artık mümkün değildir.
Pascal
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.