Google Authenticator untuk Desktop (plugin lightdm atau gdm)

10

Ada pertanyaan serupa , tapi bukan itu yang saya inginkan.

Saya ingin tahu apakah ada plugin, atau add-on, untuk lightdm atau gdm yang memungkinkan saya untuk mengautentikasi menggunakan kata sandi saya DAN google autentikator. Saya sedang berbicara tentang memasukkan kode GA Anda ke login desktop - baik GUI atau baris perintah, shell login - untuk mendapatkan akses ke desktop lokal Anda.

JulioHM
sumber

Jawaban:

8

Lihatlah posting blog ini berjudul: Otentikasi Dua Langkah Google Di Desktop Anda. Apa itu?

Instalasi

sudo apt-get install libpam-google-authenticator

Pemakaian

google-authenticator

   ss # 1                                                 ss # 2

Menurut posting blog ada versi lightdm-kde yang memiliki otentikasi 2 faktor termasuk yang dapat memanfaatkan Google Authenticator ketika Anda menambahkan modul PAM yang disertakan ke lingkungan Anda.

auth required pam_google_authenticator.so

Menghasilkan login GUI Anda terlihat seperti ini:

ss # 3 ss # 4

sumber di sini

Temp
sumber
3
Selamat datang di AskUbuntu. Bisakah Anda memasukkan bagian-bagian penting dari tautan di sini? Terima kasih!
penreturns
Luar biasa! Apakah ini akan membuat semua pengguna membutuhkan GA? Bagaimana cara kerjanya pada boot pemulihan? Saya kira pengguna root perlu mengonfigurasi ini dengan benar juga jika Anda perlu kembali ke konsol pemulihan.
JulioHM
1
@ JuliusHM, lihat jawaban saya tentang itu. Ada opsi "migrasi" yang tidak akan menjadikan GA persyaratan untuk semua pengguna.
mniess
14

Instalasi

Instal modul PAM Google Authenticator seperti ini:

sudo apt-get install libpam-google-authenticator

Sekarang jalankan google-authenticator(di dalam terminal) untuk setiap pengguna yang ingin Anda gunakan Google Authenticator dengan dan ikuti instruksi. Anda akan mendapatkan QR-Code untuk dipindai dengan ponsel cerdas Anda (atau tautan) dan kode darurat.

Konfigurasi

Untuk mengaktifkan Google Authenticator lihat di dalam direktori /etc/pam.d/ . Ada file untuk segala cara untuk mengotentikasi dengan komputer Anda. Anda perlu mengedit file konfigurasi untuk setiap layanan yang ingin Anda gunakan dengan Google Authenticator. Jika Anda ingin menggunakannya dengan SSH, edit sshd , jika Anda ingin menggunakannya di LightDM, edit lightdm . Dalam file-file itu, tambahkan salah satu baris berikut:

auth required pam_google_authenticator.so nullok
auth required pam_google_authenticator.so

Gunakan baris pertama, saat Anda masih memigrasikan pengguna Anda ke Google Authenticator. Pengguna yang belum mengonfigurasinya masih bisa masuk. Baris kedua akan memaksa penggunaan Google Authenticator. Pengguna yang tidak memilikinya, tidak bisa masuk lagi. Untuk sshd sangat penting Anda meletakkan baris di bagian atas file untuk mencegah serangan brute-force pada kata sandi Anda.

Untuk menambahkannya ke LightDM Anda dapat menjalankan ini:

echo "auth required pam_google_authenticator.so nullok" | sudo tee -a /etc/pam.d/lightdm

Sekarang ketika Anda masuk, Anda akan diminta secara terpisah untuk kata sandi dan kode otentikasi 2 langkah.

Direktori rumah terenkripsi

Jika Anda menggunakan enkripsi rumah (ecryptfs) file $ HOME / .google_authenticator tidak akan dapat dibaca untuk modul PAM (karena masih dienkripsi). Dalam hal ini Anda harus memindahkannya ke tempat lain dan memberi tahu PAM di mana menemukannya. Baris yang mungkin bisa terlihat seperti ini:

auth required pam_google_authenticator.so secret=/home/.ga/${USER}/.google_authenticator

Anda perlu membuat direktori untuk setiap pengguna di /home/.ga yang memiliki nama pengguna dan mengubah kepemilikan direktori itu kepada pengguna. Kemudian pengguna dapat menjalankan google-authenticatordan memindahkan file .google-authenticator yang dibuat ke direktori itu. Pengguna dapat menjalankan baris berikut:

sudo install -g $(id -rgn) -o $USER -m 700 -d /home/.ga/$USER
google-authenticator
mv $HOME/.google_authenticator /home/.ga/$USER

Ini akan memungkinkan modul untuk mengakses file.

Untuk opsi lain, lihat README .

mniess
sumber
2

Menggunakan otentikasi Dua-Faktor pada ssh yang dikonfigurasi seperti dijelaskan di atas di sini sebelumnya masih membuat sistem Anda terbuka terhadap kemungkinan serangan brute force pada kata sandi Anda. Itu bisa membahayakan faktor pertama: kata sandi Anda. Jadi secara pribadi saya memutuskan untuk menambahkan baris berikut ini tidak di bagian bawah tetapi pada bagian atas dari /etc/pam.d/sshdfile sebagai sebelumnya tidak tercatat Roses:

auth required pam_google_authenticator.so

Yang pertama menghasilkan prompt untuk kode verifikasi Anda, kemudian untuk kata sandi Anda (terlepas dari apakah Anda memasukkan kode verifikasi yang benar). Dengan konfigurasi ini, jika Anda salah memasukkan kode verifikasi atau kata sandi, Anda harus memasukkan keduanya lagi. Saya setuju itu sedikit lebih merepotkan, tapi hei: Anda menginginkan keamanan atau hanya rasa aman?

Maarten
sumber