Linux er kendt for at kræve en adgangskode for at gøre noget ved kernesystemet. Det er på grund af dette, mange anser Linux for at være lidt mere sikkert end de fleste operativsystemer (dog ikke perfekt på nogen måde). At have en stærk adgangskode og en god sudoer-politik er fantastisk, men det er ikke idiotsikkert, og nogle gange er det ikke nok til at beskytte dig. Det er grunden til, at mange inden for sikkerhedsområdet er gået i gang med at bruge to-faktor-autentificering på Linux
I denne artikel gennemgår vi, hvordan du aktiverer tofaktorautentificering på Linux ved hjælp af Google Authenticator.
Indholdsfortegnelse
Installation
Det er muligt at bruge Google Authenticator takket være en pam plugin. Brug dette plugin med GDM (og andre desktop-administratorer, der understøtter det). Sådan installeres det på din Linux-pc.
Bemærk: Før du opsætter dette plugin på din Linux-pc, skal du gå til Google Play Butik (eller) Apple App Store og download Google Authenticator, da det er en vigtig del af denne tutorial.
Ubuntu
sudo apt install libpam-google-authenticator
Debian
sudo apt-get install libpam-google-authenticator
Arch Linux
Arch Linux understøtter som standard ikke pam Google-godkendelsesmodulet. Brugere bliver i stedet nødt til at gribe og kompilere modulet via en AUR-pakke. Download den seneste version af PKGBUILD, eller peg din foretrukne AUR-hjælper mod den for at få den til at fungere.
Fedora
sudo dnf install google-authenticator
OpenSUSE
sudo zypper install google-authenticator-libpam
Andre Linux’er
Kildekoden til Linux-versionen af Google Authenticator, såvel som libpam-pluginet, der bruges i denne vejledning, er let tilgængelig på Github. Hvis du bruger en ikke-traditionel Linux-distribution, hovedet herover og følg instruktionerne på siden. Instruktionerne kan hjælpe dig med at kompilere den fra kilden.
Konfigurer Google Authenticator på Linux
En konfigurationsfil skal redigeres, før pam fungerer med Google Authentication plugin. For at ændre denne konfigurationsfil skal du åbne et terminalvindue. Kør inde i terminalen:
sudo nano /etc/pam.d/common-auth
Inde i common-auth-filen er der meget at se på. Masser af kommentarer og noter til, hvordan systemet skal bruge godkendelsesindstillinger mellem tjenester på Linux. Ignorer alt dette i filen, og rul helt ned til “# her er modulerne pr. pakke (den “Primære” blok)”. Flyt markøren under den med pil ned-tasten, og tryk på enter for at lave en ny linje. Så skriv dette:
auth required pam_google_authenticator.so
Når du har skrevet denne nye linje ud, skal du trykke på CTRL + O for at gemme redigeringen. Tryk derefter på CTRL + X for at afslutte Nano.
Gå derefter tilbage til terminalen og skriv “google-authenticator”. Du bliver derefter bedt om at svare på nogle spørgsmål.
Det første spørgsmål Google Authenticator stiller er “Vil du have godkendelsestokens til at være tidsbaserede”. Svar “ja” ved at trykke på y på tastaturet.
Efter at have besvaret dette spørgsmål, udskriver værktøjet en ny hemmelig nøgle sammen med nogle nødkoder. Skriv disse koder ned, da det er vigtigt.
Fortsæt og besvar de næste tre spørgsmål som “ja”, efterfulgt af “nej” og “nej”.
Det sidste spørgsmål, som autentificeringen stiller, har at gøre med hastighedsbegrænsning. Denne indstilling, når den er aktiveret, gør det således, at Google Authenticator kun tillader 3 forsøg/fejlforsøg hvert 30. sekund. Af sikkerhedsmæssige årsager anbefaler vi, at du svarer ja til dette, men det er helt OK at svare nej, hvis takstbegrænsning ikke er noget, du holder af.
Konfiguration af Google Authenticator
Linux-siden af tingene fungerer. Nu er det tid til at konfigurere Google Authenticator-appen, så den fungerer med den nye opsætning. For at starte skal du åbne appen og vælge muligheden “indtast en medfølgende nøgle”. Dette bringer et “indtast kontooplysninger”-område frem.
I dette område er der to ting, du skal udfylde: navnet på den pc, du bruger autentificering med, samt den hemmelige nøgle, du skrev ned tidligere. Udfyld begge disse, og Google Authenticator vil være operationel.
Logger ind
Du har konfigureret Google Authenticator på Linux, såvel som din mobilenhed, og alt fungerer sammen, som det skal. For at logge ind skal du vælge brugeren i GDM (eller LightDM osv.). Umiddelbart efter valg af bruger, vil dit operativsystem bede om en godkendelseskode. Åbn din mobilenhed, gå til Google Authenticator og indtast koden, der vises i login-manageren.
Hvis koden lykkes, vil du være i stand til at indtaste brugerens adgangskode.
Bemærk: opsætning af Google Authenticator på Linux påvirker ikke kun login-manageren. Hver gang en bruger forsøger at få root-adgang, få adgang til sudo-privilegier eller gøre noget, der kræver en adgangskode, kræves der i stedet en godkendelseskode.
Konklusion
At have tofaktorautentificering direkte forbundet til Linux-skrivebordet tilføjer et ekstra lag af sikkerhed, som burde være der som standard. Med dette aktiveret er det meget sværere at få adgang til nogens system.
To faktorer kan til tider være usikker (som hvis du er for langsom til autentificeringen), men alt i alt er det en velkommen tilføjelse til enhver Linux-desktopmanager.