Come posso proteggere ulteriormente il mio sistema usando l'autenticazione a 2 fattori?


16

Il titolo lo dice praticamente. Ho sentito di più sull'autenticazione a 2 fattori, password singole, token hardware e altre funzionalità di sicurezza migliorate. Con la sicurezza decrescente dell'utilizzo di una sola password, voglio sapere come posso migliorare la mia sicurezza su Ubuntu. Sto usando 14.04 LTS con Unity.

Risposte:


30

Puoi utilizzare il Pluggable Authentication Module (PAM) open source creato da Google, noto come Google Authenticator . Questo modulo è disponibile nei repository standard, nonché da GitHub in modo da poterlo compilare dal sorgente. Associato all'applicazione Android, iOS o Blackberry con lo stesso nome, crea codici basati sul tempo e sensibili al tempo per l'autenticazione insieme alla password. Dal momento che è un modulo PAM, può essere inserito praticamente ovunque . Iniziamo!

Installazione

Per iniziare, è possibile installare PAM con quanto segue:

sudo apt-get install libpam-google-authenticator

Semplice!

Configurandolo:

Dopo l'installazione, ti consigliamo di installare anche l'applicazione mobile corrispondente per Android, iOS o Blackberry (a seconda della piattaforma mobile). Ognuno è inutile senza l'altro. Dopo avere l'applicazione necessaria per il dispositivo mobile, eseguire quanto segue in un terminale:

google-authenticator

Questo inizierà ponendoti alcune domande. La prima è l'unica a cui devi rispondere "Sì" e ti chiede se vuoi che i codici siano basati sul tempo. Successivamente, leggi ogni domanda e fai la scelta che ha più senso per te.

Dopo aver completato la configurazione iniziale, vedrai un codice QR molto grande nel tuo terminale, così come alcune altre informazioni. La riga che dice "La tua nuova chiave segreta è:" è una riga molto necessaria se non vuoi usare il codice QR per associare il tuo dispositivo, quindi non chiudere questa finestra fino a quando non sei configurato! I "codici scratch" che ti danno sono importanti, in quanto sono quelli che utilizzerai per accedere se perdi il tuo dispositivo mobile. Annotali e conservali in un luogo sicuro.

Ora, sul tuo dispositivo mobile, apri l'applicazione Google Authenticator e seleziona "Configura account". Puoi scansionare il codice QR che è stato generato o selezionare "Usa chiave fornita". Se esegui la scansione del codice QR, tutto verrà automaticamente salvato con un account chiamato "tuo_utente @ tuo_host". Tuttavia, se selezioni "Usa chiave fornita", dovrai inserire manualmente un nome, una chiave e un tipo di token. Il nome può essere quello che desideri. La chiave sarebbe la chiave segreta precedentemente generata. Il tipo sarebbe basato sul tempo predefinito. Dopo averlo configurato, vedrai l'account nel riquadro principale dell'app Google Authenticator, oltre a un timer a forma di cerchio accanto ad esso. Quel timer si esaurisce ogni 30 secondi e viene generato un nuovo codice.

Abilitandolo!

Ecco che arriva la magia. Poiché si tratta di un modulo PAM, può essere utilizzato in vari luoghi. sudoEsaminerò l' aggiunta dell'autenticazione alle richieste, gli accessi SSH e l'accesso lightdm. Tuttavia, dopo aver letto questo tutorial, sarai in grado di abilitarlo altrove sulla base delle stesse tecniche.

SSH

Lo sto facendo prima perché c'è un passaggio in più. La prima cosa che devi fare è modificare il tuo file di configurazione SSH:

gksudo gedit /etc/ssh/sshd_config

Cerca la riga che dice:

ChallengeResponseAuthentication no

e cambia il "no" in un "si".

Ora, è necessario modificare il modulo PAM per ssh:

gksudo gedit /etc/pam.d/sshd

Alla fine di questo file, aggiungi la seguente riga:

auth required pam_google_authenticator.so nullok

L'argomento "nullok" dice al sistema di non richiedere un codice di verifica se un utente non ha impostato l'autenticazione a due fattori. Dopo quella modifica, vai avanti e riavvia il servizio ssh:

sudo service ssh restart

sudo richieste

Modifica il file PAM per sudo:

gksudo gedit /etc/pam.d/sudo

Aggiungi la seguente riga alla fine:

auth required pam_google_authenticator.so nullok

Ora ogni sudorichiesta richiederà un codice di verifica e una password.

LightDM (accesso alla GUI)

Modifica il file PAM per LightDM:

gksudo gedit /etc/pam.d/lightdm

Aggiungi la seguente riga alla fine:

auth required pam_google_authenticator.so nullok

Questo è tutto! Ogni volta che accedi tramite la GUI, ti verrà richiesto un codice di verifica dopo la password.

Accesso al sistema e TTY

Anche se abiliti i metodi di cui sopra, non verrà comunque richiesto un codice di verifica se passi a un TTY con CTRL+ ALT+ F#. Per risolvere questo problema, modifica il common-authfile PAM:

gksudo gedit /etc/pam.d/common-auth

e aggiungi la seguente riga fino alla fine:

auth required pam_google_authenticator.so nullok

Nota: poiché questo file common-auth è incluso in tutti gli altri file del tipo di autenticazione, è necessario rimuovere le righe di autorizzazione richieste dagli altri file. Altrimenti, ti verrà chiesto il codice di verifica due volte e non ti consentirà di accedere dopo.

Incartare

Come puoi vedere, è stato abbastanza facile aggiungere questa autenticazione. Se usi un display manager diverso da LightDM, puoi facilmente cambiare la linea lightdm sopra di conseguenza. Poiché il tuo dispositivo mobile e il tuo sistema hanno già condiviso questa chiave segreta, dovrebbero essere sempre sincronizzati. Non vi è alcuna interazione con i server di Google o qualsiasi altra risorsa Internet per questa configurazione. Anche se entrambi i dispositivi fossero completamente offline, i codici di verifica visualizzati nella tua applicazione saranno corretti. Ogni volta che devi accedere tramite uno dei metodi che hai abilitato, assicurati solo di aprire l'applicazione mobile e prendere il codice di verifica corrente.

Divertiti!!


Commentando per le note successive. Ben scritta! +1 =)
Terrance

+1: questo è davvero bello e ben scritto.
Nathan Osman,

1
E poi il tuo telefono decide che non ha più energia e vuole spegnersi. :) +1
Rinzwind

Ecco a cosa servono i codici scratch, @Rinzwind: D

Aggiunte istruzioni per abilitare due fattori su TTY.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.