Autentificare dubla la login cu Google Authenticator in Ubuntu

Configurare noua (How To)

Situatie

Dorim securizarea PC-ului cu inca o metoda de autentificare in caz ca cineva ne afla parola.

Ne vom folosi de Google Authenticator.

Backup

E recomandat sa avem in vedere urmatoarele lucruri inainte de a incepe:

-acces fizic la masina

Solutie

Pasi de urmat

Pentru a ne putea folosi de Google Authenticator, intai trebuie sa-l instalam.

Comanda cu care instalam utilitarul in Ubuntu este urmatoarea:

sudo apt-get install libpam-google-authenticator

 

Screenshot from 2015-08-12 23:54:28

 

Se ruleaza comanda

google-authenticator

Se porneste utilitarul de configurare care ne va intreba cateva lucruri. Daca doriti sa treceti repede peste configurare, puteti raspunde cu “Y” la intrebari.

In fereastra apare un cod QR ce va trebui scanat cu telefonul. Pe telefon trebuie sa avem instalata aplicatia “Google Authenticator”

Dupa scanare se va adauga automat in lista de pinuri hostul pentru care am facut configurarea.

Screenshot from 2015-08-13 00:03:31

Urmeaza setarea functiei de login pentru a se folosi de noua metoda de autentificare.

In functie de unde dorim sa folosim autentificarea dubla (SSH, sudo, login-ul din TTY, login-ul din Lightdm), editam in /etc/pam.d/ fisierul corespunzator.

Eu am ales ca atunci cand folosesc sudo sa fiu intrebat si de parola, si de PIN-ul de la Google Authenticator, deci am editat fisierul sshd din /etc/pam.d/ si am adaugat linia

auth required pam_google_authenticator.so

Aceasta linie se adauga la sfarsitul fisierului, imediat dupa ultima linie, pentru toate tipurile de login pentru care dorim autentificare dubla. Daca dorim pentru LockScreen(Lightdm) se editeaza fisierul “lightdm”, etc.

Screenshot from 2015-08-13 00:12:44

Salvam fisierul si facem un test:

Screenshot from 2015-08-13 00:14:28

Parola si codul tastat sunt ascunse. Nu vom vedea ce tastam, dar dupa ce apasam tasta enter, daca am setat totul corect ar trebui sa ne autentificam ca root (in urma rularii comenzii “sudo su”)

Screenshot from 2015-08-13 00:17:02

 

 

De asemenea, putem folosi doar codul de verificare, fara a mai necesita introducerea parolei. Pentru asta, trebuie sa comentam linia @include common-auth, linie existenta in toate fisierele din /etc/pam.d/

Screenshot from 2015-08-13 00:28:10

Sau putem schimba ordinea in care introducem parola si codul. Pentru a introduce intai codul de autentificare, apoi parola, punem linia auth required pam_google_authenticator.so

Tip solutie

Permanent

Impact colateral

Atentie la:
- crearea unui backup pentru codurile de rezerva, si cheia secreta.

Plan de restaurare in caz de nefunctionare

Daca ceva merge prost, si nu ne mai putem autentifica(pierdem codurile de rezerva, stergem din greseala aplicatia de pe telefon):

-pe linia de boot a kernelului, dupa numele kernelului punem rw init=/bin/sh pentru a ne autentifica direct ca root, fara sa fie nevoie de parola

-editam fisiere in care am adaugat linia auth required pam_google_authenticator.so si o stergem sau o comentam.

-rulam comanda sync si dam reboot.

Voteaza

(30 din 56 persoane apreciaza acest articol)

Despre Autor

Leave A Comment?