Как настроить двухфакторную аутентификацию в Ubuntu для пользователей Ubuntu с помощью Google authenticator (это также можно настроить для учетных записей не из Google)?
Примечание: После того как Вы активировали аутентификацию с 2 факторами для пользователя и не установили то же для корня, Вы никогда не будете мочь Войти в систему как корень непосредственно. В таком случае путь вокруг состоит в том, чтобы использовать любого другого sudo пользователя, для которого мы имеем его установка и затем используем sudo su -
переключаться на пользователя root.
Используйте ниже, ступает для установки его.
Установка ниже данного пакета для установки аутентификатора Google, который мы будем использовать в качестве дополнения с аутентификацией PAM:
sudo apt-get install libpam-google-authenticator
Теперь редактирование /etc/pam.d/sshd
этот файл и добавляет Google Authenticator, как дали ниже:
*sudo vim /etc/pam.d/sshd
войдите ниже наверху этого файла -
auth required pam_google_authenticator.so
Здесь мы должны внести изменения в /etc/ssh/sshd_config
гарантировать ssh использует Google Authenticator, этот способ, которым мы удостоверяемся, ssh использует двухфакторную аутентификацию.
vim /etc/ssh/sshd_config
В этом файле мы должны найти ChallengeResponseAuthentication
и не прокомментируйте и/или измените его для сходства с ниже (в коротком наборе он к да :P):
ChallengeResponseAuthentication yes
Дополнительный или GUI аутентификация с 2 факторами еще пропускают это и переходят к шагу 4: включить его для входа в систему GUI, редактирования /etc/pam.d/common-auth
:
sudo vim /etc/pam.d/common-auth
и теперь добавьте это auth required pam_google_authenticator.so
выше строки auth [success=1 default=ignore] pam_unix.so nullok_secure
затем сохраните файл.
Теперь изменитесь на учетную запись, на которой Вы хотите настроить его.
(Примечание: Я предложил бы создать по крайней мере две учетных записи суперпользователя в системе независимо, чем корневая учетная запись и настроить ее, по крайней мере, для одного из них сначала, но не корневой учетной записи.)
sudo su - testuser1
Теперь мы будем использовать ниже команды для установки двухфакторной аутентификации для этого testuser1
:
google-authenticator
Выполнение этой команды спросит Вас ниже вопроса. (рекомендуемый ответ - Да),
Вы хотите, чтобы аутентификационные маркеры были основаны на времени (y/n) y
После этого это покажет Вам QR-код и Чрезвычайные Коды Царапины и немного других деталей. Помещенный должен быть похожим ниже данного изображения:
Теперь необходимо использовать Android / Apple / телефон Blackberry, чтобы загрузить и установить Google Authenticator Application от соответствующих рынков, например, Google Play Store. который сгенерирует код для Вас для входа в систему.
Ниже снимок экрана значка приложения и приложение, взятое от телефона на базе Android приложения.
Запустите приложение по своему телефону и просканируйте QR-код или иначе используйте секретный ключ и код подтверждения, данный ниже QR-кода в системе, которую можно также видеть в первом снимке экрана выше.
После того как все это сделано, очень важно записать и сохранить Ваши чрезвычайные коды царапины безопасного места, поскольку это - коды, которые могут помочь Вам в случае, если Вы заблокированы так или иначе.
В данный момент необходимо смотреть внизу экрана, где это спрашивает Вас ниже вопроса. (рекомендуемый ответ - Да):
Вы хотите, чтобы я обновил Ваш "/home/testuser1/.google_authenticator" файл (y/n) y
Снова это задаст Вам, еще один вопрос и рекомендуемый ответ для ниже вопроса являются также Да:
Вы хотите запретить совместные использования того же аутентификационного маркера? Это ограничивает Вас одним входом в систему о каждом 30-е, но он увеличивает Ваши возможности заметить или даже предотвратить атаки "человек посередине" (y/n) y
Следующий вопрос был бы как дан ниже, и рекомендуемый ответ для него Нет:
По умолчанию маркеры хороши в течение 30 секунд и для компенсации возможного скоса времени между клиентом и сервером, мы позволяем дополнительный маркер прежде и после текущего времени. При испытании проблем с плохой синхронизацией времени можно увеличить окно с его размера по умолчанию 1:30 минуты приблизительно к 4 минутам. Вы хотите сделать так (y/n) n
И последний вопрос был бы как дан ниже и рекомендован, ответ для него - Да:
Если компьютер, в который Вы входите, не укреплен против попыток входа в систему "в лоб", можно включить ограничение уровня для модуля аутентификации. По умолчанию это ограничивает взломщиков не больше, чем 3 попытками входа в систему каждый 30-е. Вы хотите включить ограничение уровня (y/n) y
Теперь переключите выход с этой учетной записи для возвращения к корневой учетной записи:
exit
Теперь перезапустите ssh сервис
service ssh restart
Теперь просто возьмите ssh сессию для пользователя, для которого Вы настроили ее, и она сначала попросит у Вас кода подтверждения, который можно ввести с мобильного телефона, и затем она попросит пароль пользователя.
Это - все, что требуется, чтобы устанавливать двухфакторную аутентификацию. Не стесняйтесь улучшать ответ при необходимости и извините меня за не так хороший язык.