C'è stata una domanda simile , ma non è esattamente quello che voglio.
Vorrei sapere se esiste un plug-in o un componente aggiuntivo per lightdm o gdm che mi consente di autenticarmi utilizzando la mia password e l'autenticatore di Google. Sto parlando di inserire il tuo codice GA nell'accesso desktop - sia GUI o riga di comando, accesso shell - per ottenere l'accesso al desktop locale.
Risposte:
Dai un'occhiata a questo post del blog intitolato: Autenticazione in due passaggi di Google sul desktop Che cos'è?
sudo apt-get install libpam-google-authenticator
google-authenticator
Secondo il post del blog c'è una versione di lightdm-kde che include l'autenticazione a 2 fattori che può sfruttare Google Authenticator quando aggiungi il modulo PAM incluso nel tuo ambiente.
auth required pam_google_authenticator.so
Il risultato è che gli accessi alla GUI si presentano così:
Installa il modulo PAM di Google Authenticator in questo modo:
sudo apt-get install libpam-google-authenticator
Ora esegui google-authenticator(all'interno di un terminale) per ogni utente con cui desideri utilizzare Google Authenticator e segui le istruzioni. Riceverai un codice QR per scansionare con il tuo smartphone (o un link) e codici di emergenza.
Per attivare Google Authenticator guarda all'interno della directory /etc/pam.d/ . Esiste un file per ogni modo per autenticarsi con il tuo computer. È necessario modificare i file di configurazione per ogni servizio con cui si desidera utilizzare Google Authenticator. Se vuoi usarlo con SSH, modifica sshd , se vuoi usarlo in LightDM, modifica lightdm . In quei file, aggiungi una delle seguenti righe:
auth required pam_google_authenticator.so nullok
auth required pam_google_authenticator.so
Utilizza la prima riga, mentre stai ancora migrando i tuoi utenti su Google Authenticator. Gli utenti che non lo hanno configurato possono comunque accedere. La seconda riga forzerà l'utilizzo di Google Authenticator. Gli utenti che non lo hanno, non possono più accedere. Per sshd è abbastanza cruciale mettere la linea nella parte superiore del file per prevenire attacchi di forza bruta sulla tua password.
Per aggiungerlo a LightDM è possibile eseguire questo:
echo "auth required pam_google_authenticator.so nullok" | sudo tee -a /etc/pam.d/lightdm
Ora quando effettui l'accesso ti verrà chiesto separatamente la password e il codice di autenticazione in due passaggi.
Se usi la crittografia domestica (ecryptfs) il file $ HOME / .google_authenticator non sarà leggibile per il modulo PAM (perché è ancora crittografato). In questo caso devi spostarlo da qualche altra parte e dire a PAM dove trovarlo. Una possibile linea potrebbe apparire così:
auth required pam_google_authenticator.so secret=/home/.ga/${USER}/.google_authenticator
Devi creare una directory per ogni utente in /home/.ga che abbia il nome utente e cambiare la proprietà di quella directory per l'utente. Quindi l'utente può eseguire google-authenticatore spostare il file .google-authenticator creato in quella directory. L'utente può eseguire le seguenti righe:
sudo install -g $(id -rgn) -o $USER -m 700 -d /home/.ga/$USER
google-authenticator
mv $HOME/.google_authenticator /home/.ga/$USER
Ciò consentirà al modulo di accedere al file.
Per altre opzioni, controlla il README .
L'uso dell'autenticazione a due fattori su ssh configurato come descritto sopra precedentemente lascia ancora il tuo sistema aperto a possibili attacchi di forza bruta sulla tua password. Ciò potrebbe compromettere già il primo fattore: la tua password. Quindi personalmente ho deciso di aggiungere la seguente riga non nella parte inferiore ma nella parte superiore del /etc/pam.d/sshdfile, come precedentemente non è stato notato chiaramente:
auth required pam_google_authenticator.so
Ciò comporta innanzitutto una richiesta per il codice di verifica, quindi per la password (indipendentemente dal fatto che il codice di verifica sia stato inserito correttamente). Con questa configurazione, se il codice di verifica o la password sono stati inseriti in modo errato, è necessario immetterli di nuovo entrambi. Sono d'accordo che sia un po 'più fastidioso, ma ehi: volevi sicurezza o solo un senso di sicurezza?