Как настроить двухфакторную аутентификацию в Ubuntu для пользователей Ubuntu, использующих Google authenticator?

Примечание: После того как Вы активировали аутентификацию с 2 факторами для пользователя и не установили то же для корня, Вы никогда не будете мочь Войти в систему как корень непосредственно. В таком случае путь вокруг состоит в том, чтобы использовать любого другого sudo пользователя, для которого мы имеем его установка и затем используем sudo su - переключаться на пользователя root.

Используйте ниже, ступает для установки его.

1. Установка ниже данного пакета для установки аутентификатора Google, который мы будем использовать в качестве дополнения с аутентификацией PAM:

   sudo apt-get install libpam-google-authenticator
   

2. Теперь редактирование /etc/pam.d/sshd этот файл и добавляет Google Authenticator, как дали ниже:

   *sudo vim /etc/pam.d/sshd
   

   войдите ниже наверху этого файла -

   auth required pam_google_authenticator.so
   

3. Здесь мы должны внести изменения в /etc/ssh/sshd_config гарантировать ssh использует Google Authenticator, этот способ, которым мы удостоверяемся, ssh использует двухфакторную аутентификацию.

   vim /etc/ssh/sshd_config
   

   В этом файле мы должны найти ChallengeResponseAuthentication и не прокомментируйте и/или измените его для сходства с ниже (в коротком наборе он к да :P):

   ChallengeResponseAuthentication yes
   

   Дополнительный или GUI аутентификация с 2 факторами еще пропускают это и переходят к шагу 4: включить его для входа в систему GUI, редактирования /etc/pam.d/common-auth:

   sudo vim /etc/pam.d/common-auth
   

   и теперь добавьте это auth required pam_google_authenticator.so выше строки auth [success=1 default=ignore] pam_unix.so nullok_secure затем сохраните файл.

4. Теперь изменитесь на учетную запись, на которой Вы хотите настроить его.
   (Примечание: Я предложил бы создать по крайней мере две учетных записи суперпользователя в системе независимо, чем корневая учетная запись и настроить ее, по крайней мере, для одного из них сначала, но не корневой учетной записи.)

   sudo su - testuser1
   

5. Теперь мы будем использовать ниже команды для установки двухфакторной аутентификации для этого testuser1:

   google-authenticator
   

6. Выполнение этой команды спросит Вас ниже вопроса. (рекомендуемый ответ - Да),

   Вы хотите, чтобы аутентификационные маркеры были основаны на времени (y/n) y

7. После этого это покажет Вам QR-код и Чрезвычайные Коды Царапины и немного других деталей. Помещенный должен быть похожим ниже данного изображения:

   

8. Теперь необходимо использовать Android / Apple / телефон Blackberry, чтобы загрузить и установить Google Authenticator Application от соответствующих рынков, например, Google Play Store. который сгенерирует код для Вас для входа в систему.

   Ниже снимок экрана значка приложения и приложение, взятое от телефона на базе Android приложения.

   

9. Запустите приложение по своему телефону и просканируйте QR-код или иначе используйте секретный ключ и код подтверждения, данный ниже QR-кода в системе, которую можно также видеть в первом снимке экрана выше.

10. После того как все это сделано, очень важно записать и сохранить Ваши чрезвычайные коды царапины безопасного места, поскольку это - коды, которые могут помочь Вам в случае, если Вы заблокированы так или иначе.

11. В данный момент необходимо смотреть внизу экрана, где это спрашивает Вас ниже вопроса. (рекомендуемый ответ - Да):

    Вы хотите, чтобы я обновил Ваш "/home/testuser1/.google_authenticator" файл (y/n) y

12. Снова это задаст Вам, еще один вопрос и рекомендуемый ответ для ниже вопроса являются также Да:

    Вы хотите запретить совместные использования того же аутентификационного маркера? Это ограничивает Вас одним входом в систему о каждом 30-е, но он увеличивает Ваши возможности заметить или даже предотвратить атаки "человек посередине" (y/n) y

13. Следующий вопрос был бы как дан ниже, и рекомендуемый ответ для него Нет:

    По умолчанию маркеры хороши в течение 30 секунд и для компенсации возможного скоса времени между клиентом и сервером, мы позволяем дополнительный маркер прежде и после текущего времени. При испытании проблем с плохой синхронизацией времени можно увеличить окно с его размера по умолчанию 1:30 минуты приблизительно к 4 минутам. Вы хотите сделать так (y/n) n

14. И последний вопрос был бы как дан ниже и рекомендован, ответ для него - Да:

    Если компьютер, в который Вы входите, не укреплен против попыток входа в систему "в лоб", можно включить ограничение уровня для модуля аутентификации. По умолчанию это ограничивает взломщиков не больше, чем 3 попытками входа в систему каждый 30-е. Вы хотите включить ограничение уровня (y/n) y

15. Теперь переключите выход с этой учетной записи для возвращения к корневой учетной записи:

    exit
    

16. Теперь перезапустите ssh сервис

    service ssh restart
    

Теперь просто возьмите ssh сессию для пользователя, для которого Вы настроили ее, и она сначала попросит у Вас кода подтверждения, который можно ввести с мобильного телефона, и затем она попросит пароль пользователя.

Это - все, что требуется, чтобы устанавливать двухфакторную аутентификацию. Не стесняйтесь улучшать ответ при необходимости и извините меня за не так хороший язык.