Можно использовать Сменный модуль аутентификации (PAM) с открытым исходным кодом, созданный Google, известным как Google Authenticator. Этот модуль доступен в стандартных репозиториях, а также от GitHub так, чтобы можно было создать из источника. Вместе с Android, iOS или Приложением для Blackberry того же имени, это создает основанные на времени, чувствительные ко времени коды для аутентификации наряду с Вашим паролем. Так как это - модуль PAM, этому можно заглядывать в значительной степени где угодно. Давайте начнем!

Установка

Для запуска можно установить PAM со следующим:

sudo apt-get install libpam-google-authenticator

Простой!

Установка его:

После того, как это будет установлено, Вы захотите также установить соответствующее мобильное приложение для Android, iOS или Blackberry (в зависимости от Вашей мобильной платформы). Каждый бесполезен без другого. После того, как у Вас будет приложение, Вы нуждаетесь для своего мобильного устройства, выполняете следующее в терминале:

google-authenticator

Это запустится путем выяснения у Вас несколько вопросов, первый является единственным, на который необходимо ответить на "Да", и он спрашивает, хотите ли Вы, чтобы коды были основаны на времени. После этого считайте каждый вопрос и сделайте выбор, который имеет большую часть смысла Вам.

После завершения начальной настройки Вы будете видеть очень большой QR-код в своем терминале, а также некоторую другую информацию. Строка, которая говорит "Ваш Новый Секретный ключ,": очень необходимая строка, если Вы не хотите использовать QR-код для соединения Вашего устройства, не закрывайте это окно, пока Вы не установка! "Коды царапины" это дает Вам, также важны, поскольку они - то, что Вы будете использовать для входа в систему при потере мобильного устройства. Запишите их и сохраните их где-нибудь безопасный.

Теперь, на Вашем мобильном устройстве, откройте свое приложение Google Authenticator и избранную "Созданную учетную запись". Можно или просканировать QR-код, который был сгенерирован, или выберите "Использование, обеспеченное ключ". При сканировании QR-кода все будет автоматически сохранено в соответствии с учетной записью под названием "your_user@your_host". Однако при выборе "Использования, обеспеченного ключ", необходимо будет ввести имя, ключ и тип маркера вручную. Имя может быть чем-либо, чего Вы желаете. Ключ был бы секретным ключом, ранее сгенерированным. Тип был бы основанным на времени значением по умолчанию. После установки его Вы будете видеть учетную запись на основной области приложения Google Authenticator, а также таймер круговой формы рядом с нею. Тот таймер истощает каждые 30 секунд, и сгенерирован новый код.

Включение его!

Здесь прибывает волшебство. Так как это - модуль PAM, он может использоваться во множестве мест. Я буду идти посредством добавляющей аутентификации к sudo запросы, логины SSH и вход в систему lightdm. Однако после чтения этого учебного руководства, Вы сможете включить его в другом месте на основе тех же методов.

SSH

Я делаю этого сначала, потому что существует дополнительный шаг. Первая вещь, которую необходимо сделать, состоит в том, чтобы отредактировать файл конфигурации SSH:

gksudo gedit /etc/ssh/sshd_config

Ищите строку, которая говорит:

ChallengeResponseAuthentication no

и измените "нет" на "да".

Теперь, необходимо отредактировать модуль PAM для ssh:

gksudo gedit /etc/pam.d/sshd

В самом конце этого файла добавьте следующую строку:

auth required pam_google_authenticator.so nullok

"nullok" аргумент говорит системе не запрашивать код подтверждения, если у пользователя нет двухфакторной аутентификации установки. После того редактирования, разрешения и перезапуска Ваш ssh сервис:

sudo service ssh restart

sudo Запросы:

Отредактируйте файл PAM для sudo:

gksudo gedit /etc/pam.d/sudo

Добавьте следующую строку в самом конце:

auth required pam_google_authenticator.so nullok

Теперь каждый sudo запрос попросит код подтверждения, а также пароль.

LightDM (вход в систему GUI)

Отредактируйте файл PAM для LightDM:

gksudo gedit /etc/pam.d/lightdm

Добавьте следующую строку в самом конце:

auth required pam_google_authenticator.so nullok

Именно! Каждый раз Вы входите в систему через GUI, он попросит код подтверждения после Вашего пароля.

В масштабе всей системы и вход в систему TTY

Даже при включении вышеупомянутых методов это все еще не попросит код подтверждения, если Вы переключитесь на TTY с CTRL+ALT+F#. Для фиксации этого отредактируйте common-auth Файл PAM:

gksudo gedit /etc/pam.d/common-auth

и добавьте следующую строку к самому концу:

auth required pam_google_authenticator.so nullok

Примечание: Так как этот общий подлинный файл включен во все другие подлинные файлы типа, необходимо удалить требуемые строки автора из других файлов. Иначе это попросит код подтверждения дважды и не позволит Вам входить в систему после.

Перенос

Как Вы видели, было довольно легко включить эту аутентификацию. При использовании менеджера по оформлению кроме LightDM Вы могли бы легко просто изменить lightdm строку выше соответственно. Так как Ваше мобильное устройство и Ваша система уже совместно использовали этот секретный ключ, они должны всегда быть в синхронизации. Нет никакого взаимодействия с серверами Google или любого другого интернет-ресурса для этой установки. Даже если оба устройства были абсолютно в режиме офлайн, коды подтверждения, которые обнаруживаются в Вашем приложении, будут корректны. Каждый раз, когда необходимо войти в систему через один из методов, Вы включили, просто удостоверьтесь, что открыли свое мобильное приложение и захватили текущий код подтверждения.

Развлекайтесь!!