Как защитить Linux Ubuntu с помощью двухфакторной аутентификации
Linux

Как защитить Linux Ubuntu с помощью двухфакторной аутентификации

Хотите получить дополнительный уровень безопасности при входе в Linux? Благодаря Google Authenticator, можно добавить двухфакторную аутентификацию к вашему ПК Ubuntu (и другим операционным системам Linux)

Image Credit: Dave Clark Digital Photo via Shutterstock.com.

Непрекращающаяся война между злобными хакерами и специалистами по информационной безопасности продолжается. Согласно исследованию, проведенному Бюро статистики труда, прогнозируемые темпы роста рабочих мест в сфере информационной безопасности намного выше, чем у всех остальных профессий. Как невинные сторонние наблюдатели, мы можем предпринять несколько мер, чтобы помешать плохим парням

Изображение кредитное: designer491 via Shutterstock.

Двухфакторная аутентификация (2FA) существует уже некоторое время. Она требует использования двух методов аутентификации для проверки личности пользователя. Обычно это обычное имя пользователя и пароль, а также проверочный код, отправляемый на мобильное устройство в виде текстового сообщения. Это означает, что даже если ваш пароль был взломан (как сделать ваши пароли более надежными), озорному хакеру понадобится доступ к вашему мобильному устройству, чтобы получить полный доступ к вашей учетной записи

Есть сообщения о том, что недоброжелатели маскируются под операторов мобильной связи и утверждают, что ‘потеряли’ свои SIM-карты, чтобы получить доступ к номеру мобильного телефона жертвы. Это еще раз доказывает, что есть возможности для улучшения, но 2FA также выходит за рамки проверки текстового сообщения. Это руководство поможет настроить повышенную безопасность на сервере и настольном компьютере Ubuntu в сочетании с Google Authenticator для двухфакторной аутентификации

Соображения и предварительные условия

Установка этой функции означает, что всем пользователям системы потребуется проверочный код от Google Authenticator:

  • Входе в систему.
  • Выполнение команд sudo.

.

Хотя компромиссом здесь является время, дополнительный уровень безопасности может оказаться жизненно важным. Особенно на машинах, где хранятся конфиденциальные данные. В данном руководстве используются:

  • Ubuntu 16. 04 (настольный компьютер или сервер).
  • Приложение Google Authenticator (из Google Play Store или Apple App Store).

Установите Google Authenticator

Как мы уже говорили, мы будем использовать Google Authenticator в качестве второй линии защиты от несанкционированного доступа. Давайте сначала разберемся с мобильной частью уравнения. Шаги по установке точно такие же, как и при установке любого другого приложения. Приведенные ниже шаги установки предназначены для Google Play Store, но они не должны отличаться от таковых в Apple App Store

Откройте Google Play Store на своем устройстве Android и найдите google authenticator. Найдите и коснитесь нужной записи, обращая внимание на то, чтобы она была опубликована Google Inc. Затем нажмите Установить и Принять , когда появится запрос, и дождитесь завершения установки

Далее запустите терминальную сессию на рабочем столе или сервере

Выполните следующую команду:

sudo apt-get install libpam-google-authenticator

Когда появится запрос, введите свой пароль и нажмите Enter. Если появится запрос, введите Y и снова нажмите Enter , затем откиньтесь на спинку кресла и дайте установке завершиться

Конфигурация

Теперь вам нужно отредактировать файл, чтобы добавить двухэтапную аутентификацию на ваш драгоценный Linux ящик. Выполните следующую команду:

sudo nano /etc/pam.d/common-auth

Недалеко внизу найдите строку, которая гласит:

auth  success=1 default=ignore  pam_unix.so nullok_secure

Непосредственно над этой строкой добавьте следующее:

auth required pam_google_authenticator.so

Ваш файл должен выглядеть примерно так:

Нажмите Ctrl + X , а затем Y , чтобы сохранить и закрыть файл

Настройте каждого пользователя

Следующий шаг окончательно свяжет ваш аккаунт с аутентификатором Google. Этот шаг необходимо выполнить для всех пользователей, которые входят в вашу систему. В нашем примере есть только один пользователь, почини-компьютер. Однако шаги будут идентичны для любого другого пользователя в вашей системе

В терминале выполните следующее:

google-authenticator

При более детальном рассмотрении того, что предоставляется, мы находим:

  • QR-код.
  • Код проверки.
  • Новый секретный ключ.
  • 5 аварийных кодов.

QR-код и секретный ключ выполняют практически одну и ту же функцию. Мы вернемся к ним через секунду. Код проверки – это код одноразового использования, который вы можете использовать сразу же, если это необходимо. Скретч-коды – это одноразовые коды, которые можно использовать в том случае, если у вас нет под рукой мобильного устройства. Вы можете распечатать их и хранить под термоядерным замком или просто игнорировать. В конечном итоге это зависит от того, насколько вы склонны забывать или терять свое мобильное устройство

Вам также будет задан ряд вопросов. Значения по умолчанию более чем достаточны, и вы можете ответить Y на все из них. Однако не стесняйтесь изменить их по своему усмотрению. Пока не закрывайте окно или терминальную сессию

Настройте мобильное приложение

Прежде чем перейти к любому другому пользователю, давайте завершим работу с тем, под которым вы сейчас вошли в систему

Если вы впервые запускаете Google Authenticator на своем мобильном устройстве, нажмите Начать. Или же в главном окне нажмите на значок плюса в нижнем углу. Если разрешение окна терминала достаточно хорошее, чтобы увидеть QR-код, выберите Сканировать штрих-код или Ввести предоставленный ключ , если камера вашего мобильного устройства похожа на картофелину. Если вы выбрали ввод ключа, теперь вам нужно будет ввести имя учетной записи, чтобы вы могли вспомнить, к какой учетной записи это относится. После этого введите проверочный ключ, предоставленный в окне терминала. Теперь просто нажмите ADD

Сканирование вашего штрих-кода выполнит эти три действия одновременно. И вуаля! Ваше мобильное устройство и система теперь имеют дополнительный уровень защиты. Единственный возможный способ, которым недоброжелатели могут получить доступ к вашей системе, – это взломать ваш пароль и получить доступ к настроенному вами мобильному устройству

Заключительные шаги и тестирование

У вас может быть несколько человек, использующих эту конкретную систему. В нашем примере slaghoople является дополнительным пользователем. Выполните следующие действия в терминале:

sudo su slaghoople

Откройте приложение Google Authenticator на своем мобильном устройстве. Введите шестизначный код аутентификации, который приложение предоставило в окне терминала. Введите пароль sudo и нажмите Enter. Теперь вы должны войти в систему. В качестве нового пользователя выполните следующую команду:

google-authenticator

Теперь вы можете просто выполнить те же шаги, что и для первого пользователя, описанные выше. После ответов на вопросы откройте мобильное приложение Google Authenticator. Добавьте еще один аккаунт. Введите slaghoople в качестве имени аккаунта, чтобы вы могли различать их на мобильном устройстве. Выберите вариант сканирования штрихкода или ввода ключа проверки. Теперь Slaghoople будет требовать код из мобильного приложения вместе со своим паролем sudo для входа в систему и выполнения повышенных команд. Повторите процедуру для всех дополнительных пользователей. Когда все пользователи будут настроены, вы заметите, что при попытке входа в систему или выполнении команд sudo требуется проверочный код

Вот и все. Ваша машина Linux теперь гораздо более безопасна, чем раньше. Некоторые могут возразить, что этот процесс очень хлопотный. Конечно, это так! В этом-то и смысл!

Была ли у вас утечка пароля и взлом системы? Как вы защищаете свои конфиденциальные данные? Используете ли вы в настоящее время двухфакторную аутентификацию? Дайте нам знать в комментариях!

Image Credit: Dave Clark Digital Photo via Shutterstock.com

Об авторе

Алексей Белоусов

Привет, меня зовут Филипп. Я фрилансер энтузиаст . В свободное время занимаюсь переводом статей и пишу о потребительских технологиях для широкого круга изданий , не переставая питать большую страсть ко всему мобильному =)

Комментировать

Оставить комментарий