Если у вас есть сканер отпечатков пальцев на вашем Linux-устройстве, вы можете легко настроить аутентификацию по отпечаткам пальцев для обеспечения дополнительной безопасности
Отпечаток пальца является одним из самых распространенных входов для авторизации. Использование биометрических данных для авторизации подтверждает физическое существование физических лиц с помощью элемента, который относительно неотделим от них
Кроме того, биометрические данные обеспечивают безопасность личности за счет использования данных, характерных практически для каждого человека. Если оставить в стороне юридические ограничения использования биометрических данных, эти особенности подчеркивают преимущество использования отпечатков пальцев перед другими средствами второго фактора
Вот как можно настроить сканер отпечатков пальцев в Linux с помощью PAM (Pluggable Authentication Modules)
Что нужно учитывать при работе с отпечатками пальцев
Метод отпечатков пальцев – не самый безопасный выбор из всех возможных. На это есть несколько причин:
По вышеуказанным причинам отпечатки пальцев целесообразно использовать в качестве третьего фактора или лишь слабого доказательства для подтверждения физического существования людей
Добавление аутентификации по отпечаткам пальцев к единственной системе, защищенной паролем, обеспечит дополнительную безопасность. Имеет смысл использовать отпечатки пальцев, особенно на устройствах со встроенным сканером отпечатков пальцев, поскольку затраты на это практически равны нулю
Установка требований
Конечно, чтобы добавить функцию отпечатков пальцев в устройство с операционной системой GNU/Linux, необходим сканер отпечатков пальцев. Большинство устройств в наши дни оснащены сканерами отпечатков пальцев
Если у вас есть сканер отпечатков пальцев, следующим шагом будет установка пакета fprintd в вашу систему
В системах на базе Debian (Ubuntu, Mint и т.д.):
sudo apt-get install fprintd
Пользователи Arch Linux могут установить fprintd с помощью Pacman:
sudo pacman -S fprintd
В системах на базе Red Hat (Fedora, CentOS и т.д.):
sudo yum install fprintd
После установки у вас будут установлены fprintd и внутренний модуль PAM. Введите следующую команду для запуска сканирования отпечатков пальцев:
fprintd-enroll -f [finger_name]
Вам необходимо сообщить fprintd, каким пальцем вы сканируете. Таким образом, вы сможете узнать, какой палец он спрашивает у вас во время сканирования. Допустимыми именами пальцев являются:
| Команда | Имя пальца |
| левый палец | Большой палец левой руки |
| левый указательный палец | Левый указательный палец |
| левый средний палец | Левый средний палец |
| левый безымянный палец | Безымянный палец левой руки |
| левый мизинец | Левый мизинец |
| правый палец | Большой палец правой руки |
| указательный палец правой руки | Указательный палец правой руки |
| правый средний палец | Средний палец правой руки |
| правый безымянный палец | Безымянный палец правой руки |
| правый мизинец | Правый мизинец |
Соответственно, пример команды для представления левого мизинца будет выглядеть следующим образом:
fprintd-enroll -f left-little-finger
Затем вам нужно будет просканировать палец четыре раза, и в случае успеха отпечаток будет добавлен
Using device /net/reactivated/Fprint/Device/0
Enrolling left-little-finger finger.
Enroll result: enroll-stage-passed
Enroll result: enroll-stage-passed
Enroll result: enroll-stage-passed
Enroll result: enroll-stage-passed
Enroll result: enroll-completed
Чтобы проверить успешность процесса, можно выполнить приведенную ниже команду и считать палец:
fprintd-verify -f left-little-finger
Ваши зарегистрированные отпечатки пальцев будут перечислены, и вы получите подтверждение после сканирования указанного вами пальца
Using device /net/reactivated/Fprint/Device/0
Listing enrolled fingers:
- #0: left-little-finger
Verify result: verify-match (done)
Настройки PAM, которые вам необходимо выполнить
Что касается целостности данных и защиты личных прав, PAM приобретает все большее значение в мире кибербезопасности. Когда злоумышленники атакуют устройство, они используют такие атаки, как повышение привилегий, для эксплуатации устройства. Поэтому PAM является средством защиты от таких атак
PAM – это программное обеспечение, отвечающее за авторизацию пользователей в системах GNU/Linux. Вы можете настроить поведение PAM с помощью конфигурационных файлов, расположенных в каталоге /etc/pam.d. При желании вы можете настроить параметры PAM в соответствии со своими потребностями
Чтобы добавить аутентификацию по отпечатку пальца ко всем входам в систему вашего устройства под управлением PAM, откройте следующий файл в текстовом редакторе по вашему выбору:
sudo vim /etc/pam.d/common-auth
Вы увидите текст, подобный следующему:
Обратите внимание, что если на этом этапе возникнет проблема и вы включите блокировку экрана, вы, возможно, не сможете снова войти в устройство
Добавьте следующую строку в конец файла:
auth required pam_fprintd.so
Если вы используете Vim, введите :wq после нажатия Escape. Нажмите Enter после ввода, сохраните файл и выйдите
После этого момента система будет запрашивать у вас отпечаток пальца для всех процессов авторизации на вашем устройстве
Чтобы убедиться, что все в порядке, и чтобы без труда исправить ситуацию, если возникла проблема, откройте другой терминал из терминала с авторизацией sudo, который вы держали открытым. Следуя советам выше, введите:
sudo ls ~
Система должна запросить у вас пароль и отпечаток пальца для авторизации sudo. Если этого не произошло или файлы в домашнем каталоге не были успешно перечислены, вернитесь назад и проверьте, не допустили ли вы ошибку в шагах
Если вы столкнулись с проблемой, вы можете предотвратить блокировку устройства, отменив и сохранив изменения, внесенные в файл /etc/pam.d/common-auth из терминала с правами sudo
Если вы успешно прошли тест, теперь вы можете начать использовать свое устройство немного более безопасно с помощью отпечатка пальца
Соображения для пользователей, не являющихся администраторами
Если на устройстве несколько пользователей, и только один из них использует отпечаток пальца, вы можете изменить конфигурацию /etc/pam.d/common-auth на следующую, чтобы второй фактор требовался только пользователям с настройкой отпечатка пальца. Однако этот шаг следует тщательно обдумать, так как он исключит пользователя root из 2FA:
auth required pam_fprintd.so nullok
Если вы хотите войти в систему как пользователь root с отпечатком пальца, вам нужно повторить описанные выше шаги с пользователем root
Защита устройства Linux с помощью отпечатка пальца
Отпечатки пальцев – непростое препятствие для злоумышленников, чтобы получить доступ к вашему устройству. Поэтому, если вы приняли все меры предосторожности для защиты вашего устройства, вы также можете воспользоваться преимуществами безопасности отпечатков пальцев. Однако не стоит забывать, что конфигурацию отпечатков пальцев необходимо выполнять шаг за шагом правильно
Используемый вами сканер отпечатков пальцев не должен вас подвести. Вот почему вы должны доверять своему оборудованию. Кроме того, есть гораздо более простые методы, которые вы можете использовать для обеспечения безопасности вашего устройства. Однако отпечатками пальцев не стоит пренебрегать
Комментировать