Kaksifaktorisen todennuksen käyttäminen Ubuntun kanssa


Ajan mittaan perinteinen käyttäjätunnus- ja salasanatodennus on osoittautunut riittämättömäksi tarjoamaan vankkaa suojausta sovelluksille ja järjestelmille. Käyttäjätunnukset ja salasanat voidaan helposti murtaa käyttämällä lukuisia hakkerointityökaluja, jolloin järjestelmäsi on alttiina tietomurroille. Tästä syystä kaikkien tietoturvaa vakavasti ottavien yritysten tai tahojen on otettava käyttöön 2-faktorinen todennus.

Puhekielenä MFA (Multi-Factor Authentication) 2-vaiheinen todennus tarjoaa ylimääräisen suojauskerroksen, joka edellyttää käyttäjien antamaan tiettyjä tietoja, kuten koodeja. tai OTP (One Time Password) ennen tai jälkeen todennuksen tavallisella käyttäjätunnuksella ja salasanalla.

Nykyään useat yritykset, kuten Google, Facebook, Twitter ja AWS, tarjoavat käyttäjille valinnanvaraa. MFA:n perustamisesta tiliensä suojaamiseksi.

Tässä oppaassa näytämme, kuinka voit käyttää kaksivaiheista todennusta Ubuntun kanssa.

Vaihe 1: Asenna Googlen PAM-paketti

Asenna ensin Google PAM -paketti. PAM, lyhenne sanoista Pluggable Authentication Module, on mekanismi, joka tarjoaa ylimääräisen todennustason Linux-alustalla.

Paketti isännöi Ubuntu-arkistossa, joten jatka ja asenna se apt-komennolla seuraavasti:

sudo apt install libpam-google-authenticator

Paina pyydettäessä Y ja paina ENTER jatkaaksesi asennusta.

Vaihe 2: Asenna Google Authenticator -sovellus älypuhelimeesi

Lisäksi sinun on asennettava Google Authenticator -sovellus tablettiin tai älypuhelimeesi. Sovellus näyttää sinulle 6-numeroisen OTP-koodin, joka uusiutuu automaattisesti 30 sekunnin välein.

Vaihe 3: Määritä Google PAM Ubuntussa

Kun Google Authenticator -sovellus on käytössä, jatkamme ja määritämme Google PAM -paketin Ubuntussa muokkaamalla /etc/pam.d/common-auth<.-tiedosto kuvan mukaisesti.

sudo vim /etc/pam.d/common-auth

Liitä alla oleva rivi tiedostoon osoitetulla tavalla.

auth required pam_google_authenticator.so

Tallenna tiedosto ja poistu.

Suorita nyt alla oleva komento alustaaksesi PAM.

google-authenticator

Tämä herättää muutaman kysymyksen päätenäytölläsi. Ensin sinulta kysytään, haluatko todennustunnusten olevan aikaperusteisia.

Aikaperusteisen todennus-tunnukset vanhenevat tietyn ajan kuluttua. Oletusarvoisesti tämä on 30 sekunnin kuluttua, jolloin luodaan uusi joukko tunnuksia. Näitä tunnuksia pidetään turvallisempina kuin ei-aikaan perustuvia tunnuksia, ja siksi kirjoita y ja paina ENTER.

Seuraavaksi päätteessä näkyy QR-koodi alla olevan kuvan mukaisesti ja sen alapuolella näytetään joitakin tietoja. Näkyviin tietoihin kuuluu:

  • Salainen avain
  • Vahvistuskoodi
  • Hätäraaputuskoodit

Sinun on tallennettava nämä tiedot varastoon myöhempää käyttöä varten. Hätäraaputuskoodit ovat erittäin hyödyllisiä, jos kadotat todennuslaitteesi. Jos todennuslaitteellesi tapahtuu jotain, käytä koodeja.

Käynnistä Google Authenticator -sovellus älylaitteellasi ja skannaa esitetty QR-koodi valitsemalla Skannaa QR-koodi.

HUOMAA: sinun on suurennettava pääteikkuna, jotta voit skannata koko QR-koodin. Kun QR-koodi on skannattu, sovelluksessa näkyy kuusinumeroinen OTP, joka vaihtuu 30 sekunnin välein.

Päivitä kotikansiosi Google-todennustiedosto valitsemalla sen jälkeen y.

Rajoita seuraavassa kehotteessa kirjautuminen yhteen kirjautumiseen 30 sekunnin välein estääksesi hyökkäykset, jotka voivat syntyä välimieshyökkäyksistä. Valitse siis 'y'

Valitse seuraavassa kehotteessa 'n', jos haluat estää palvelimen ja asiakkaan välisen ajan vääristymisen korjaavan ajan pidentämisen. Tämä on turvallisempi vaihtoehto, ellei sinulla ole haasteita huonon ajan synkronoinnin kanssa.

Ota lopuksi käyttöön nopeuden rajoitus vain 3 kirjautumisyritykseen.

Tässä vaiheessa olemme saaneet valmiiksi 2-vaiheisen todennus-ominaisuuden käyttöönoton. Itse asiassa, jos suoritat minkä tahansa sudo-komennon, sinua pyydetään antamaan vahvistuskoodi, jonka voit hankkia Google Authenticator -sovelluksesta.

Voit vahvistaa tämän edelleen käynnistämällä uudelleen ja kun pääset kirjautumisnäyttöön, sinua pyydetään antamaan vahvistuskoodisi.

Kun olet antanut koodisi Google Authenticator -sovelluksesta, anna salasanasi käyttääksesi järjestelmääsi.

Vaihe 4: Integroi SSH Google Authenticatoriin

Jos aiot käyttää SSH:ta Googlen PAM-moduulin kanssa, sinun on integroitava nämä kaksi. Voit saavuttaa tämän kahdella tavalla.

SSH-salasanan todennusta varten

Ota SSH-salasanatodennus käyttöön tavalliselle käyttäjälle avaamalla ensin oletusarvoinen SSH-määritystiedosto.

sudo vim /etc/ssh/sshd_config

Ja aseta seuraavat attribuutit arvoon kyllä kuvan mukaisesti

Aseta pääkäyttäjälle PermitRootLogin-attribuutin arvoksi yes.

PermitRootLogin yes

Tallenna tiedosto ja poistu.

Muokkaa seuraavaksi PAM-sääntöä SSH:lle

sudo vim /etc/pam.d/sshd

Liitä sitten seuraava rivi

auth   required   pam_google_authenticator.so

Käynnistä lopuksi SSH-palvelu uudelleen, jotta muutokset tulevat voimaan.

sudo systemctl restart ssh

Alla olevassa esimerkissä kirjaudumme sisään Ubuntu-järjestelmään Putty-asiakassovelluksesta.

SSH:n julkisen avaimen todennus

Jos käytät julkisen avaimen todennusta, toista yllä olevat vaiheet ja lisää /etc/ssh/sshd_config-tiedoston alareunassa näkyvä rivi.

AuthenticationMethods publickey,keyboard-interactive

Muokkaa vielä kerran SSH-daemonin PAM-sääntöä.

sudo vim /etc/pam.d/sshd

Lisää sitten seuraava rivi.

auth   required   pam_google_authenticator.so

Tallenna tiedosto ja käynnistä SSH-palvelu uudelleen kuten näimme aiemmin.

sudo systemctl restart ssh

Poista kaksifaktorinen todennus käytöstä Ubuntussa

Jos kadotat todennuslaitteesi tai salaisen avaimesi, älä ole hullu. Voit helposti poistaa 2FA-todennuskerroksen käytöstä ja palata yksinkertaiseen käyttäjätunnukseen/salasanaan kirjautumistapaasi.

Käynnistä ensin järjestelmä uudelleen ja paina e ensimmäisessä GRUB-merkinnässä.

Vieritä ja etsi rivi, joka alkaa sanoilla linux ja päättyy hiljaiseen splash $vt_handoff -merkkiin. Liitä rivi systemd.unit=rescue.target ja siirry pelastustilaan painamalla ctrl+x

Kun olet hankkinut komentotulkin, anna pääkäyttäjän salasana ja paina ENTER.

Jatka seuraavaksi ja poista .google-authenticator-tiedosto kotihakemistostasi seuraavasti. Muista korvata käyttäjänimi omalla käyttäjätunnuksellasi.


rm /home/username/.google_authenticator

Muokkaa sitten /etc/pam.d/common-auth-tiedostoa.


$ vim /etc/pam.d/common-auth

Kommentoi tai poista seuraava rivi:


auth required pam_google_authenticator.so

Tallenna tiedosto ja käynnistä järjestelmä uudelleen. Kirjautumisnäytössä sinun on annettava vain käyttäjätunnuksesi ja salasanasi todentamista varten.

Ja tämä vie meidät tämän artikkelin loppuun. Kuulemme mielellämme kuinka kävi.