Bagaimana saya bisa mengamankan sistem saya menggunakan otentikasi 2 faktor?


16

Judulnya cukup banyak mengatakannya. Saya telah mendengar lebih banyak tentang otentikasi 2 faktor, kata sandi satu kali, bukti keras, dan fitur keamanan lainnya yang ditingkatkan. Dengan semakin berkurangnya keamanan hanya menggunakan kata sandi, saya ingin tahu bagaimana saya dapat meningkatkan keamanan saya di Ubuntu. Saya menggunakan 14,04 LTS dengan Unity.

Jawaban:


30

Anda dapat menggunakan Modul Otentikasi Pluggable (PAM) sumber terbuka yang dibuat oleh Google, yang dikenal sebagai Google Authenticator . Modul ini tersedia dalam repositori standar, serta dari GitHub sehingga Anda dapat membangun dari sumber. Digabungkan dengan Android, iOS, atau Blackberry App dengan nama yang sama, itu menciptakan kode waktu-sensitif berdasarkan waktu untuk otentikasi bersama dengan kata sandi Anda. Karena ini adalah modul PAM, ia dapat dijatuhkan di mana saja . Ayo mulai!

Menginstal

Untuk memulai, Anda dapat menginstal PAM dengan yang berikut ini:

sudo apt-get install libpam-google-authenticator

Sederhana!

Menyiapkannya:

Setelah diinstal, Anda juga ingin menginstal aplikasi seluler yang sesuai untuk Android, iOS, atau Blackberry (tergantung pada platform seluler Anda). Masing-masing tidak berguna tanpa yang lain. Setelah Anda memiliki aplikasi yang Anda perlukan untuk perangkat seluler Anda, jalankan yang berikut di terminal:

google-authenticator

Ini akan mulai dengan mengajukan beberapa pertanyaan kepada Anda. Pertanyaan pertama adalah satu-satunya yang harus Anda jawab "Ya", dan ia menanyakan apakah Anda ingin kode tersebut berbasis waktu. Setelah itu, baca setiap pertanyaan dan buat pilihan yang paling masuk akal bagi Anda.

Setelah menyelesaikan pengaturan awal, Anda akan melihat kode QR yang sangat besar di terminal Anda, serta beberapa informasi lainnya. Baris yang bertuliskan "Your New Secret Key Is:" adalah baris yang sangat dibutuhkan jika Anda tidak ingin menggunakan kode QR untuk memasangkan perangkat Anda, jadi jangan tutup jendela ini sampai Anda siap! "Kode awal" ini memberi Anda juga penting, karena itu adalah apa yang akan Anda gunakan untuk masuk jika Anda kehilangan perangkat seluler Anda. Tuliskan dan simpan di tempat yang aman.

Sekarang, di perangkat seluler Anda, buka aplikasi Google Authenticator Anda dan pilih "Siapkan akun". Anda dapat memindai kode QR yang dihasilkan, atau pilih "Gunakan kunci yang disediakan". Jika Anda memindai kode QR, semuanya akan secara otomatis disimpan di bawah akun bernama "your_user @ your_host". Namun, jika Anda memilih "Gunakan kunci yang disediakan", Anda harus memasukkan nama, kunci, dan jenis token secara manual. Nama bisa apa saja yang Anda inginkan. Kuncinya adalah kunci rahasia yang dihasilkan sebelumnya. Jenisnya akan berbasis waktu default. Setelah mengaturnya, Anda akan melihat akun di panel utama aplikasi Google Authenticator, serta timer berbentuk lingkaran di sebelahnya. Penghitung waktu itu habis setiap 30 detik, dan kode baru dihasilkan.

Mengaktifkannya!

Di sinilah keajaibannya. Karena ini adalah modul PAM, modul ini dapat digunakan di berbagai tempat. Saya akan berjalan menambahkan otentikasi untuk sudopermintaan, masuk SSH, dan masuk lightdm. Namun, setelah membaca tutorial ini, Anda akan dapat mengaktifkannya di tempat lain berdasarkan teknik yang sama.

SSH

Saya melakukan ini dulu karena ada langkah ekstra. Hal pertama yang perlu Anda lakukan adalah mengedit file konfigurasi SSH Anda:

gksudo gedit /etc/ssh/sshd_config

Cari baris yang mengatakan:

ChallengeResponseAuthentication no

dan ubah "tidak" menjadi "ya".

Sekarang, Anda perlu mengedit modul PAM untuk ssh:

gksudo gedit /etc/pam.d/sshd

Di akhir file ini, tambahkan baris berikut:

auth required pam_google_authenticator.so nullok

Argumen "nullok" memberi tahu sistem untuk tidak meminta kode verifikasi jika pengguna belum mengatur otentikasi dua faktor. Setelah edit itu, lanjutkan dan mulai ulang layanan ssh Anda:

sudo service ssh restart

sudo Permintaan

Edit file PAM untuk sudo:

gksudo gedit /etc/pam.d/sudo

Tambahkan baris berikut di bagian paling akhir:

auth required pam_google_authenticator.so nullok

Sekarang setiap sudopermintaan akan meminta kode verifikasi serta kata sandi.

LightDM (GUI Masuk)

Edit file PAM untuk LightDM:

gksudo gedit /etc/pam.d/lightdm

Tambahkan baris berikut di bagian paling akhir:

auth required pam_google_authenticator.so nullok

Itu dia! Setiap kali Anda masuk melalui GUI, ia akan meminta kode verifikasi setelah kata sandi Anda.

Sistem-Lebar dan Log-In TTY

Bahkan jika Anda mengaktifkan metode di atas, masih tidak akan meminta kode verifikasi jika Anda beralih ke TTY dengan CTRL+ ALT+ F#. Untuk memperbaiki ini, edit common-authfile PAM:

gksudo gedit /etc/pam.d/common-auth

dan tambahkan baris berikut sampai akhir:

auth required pam_google_authenticator.so nullok

Catatan: Karena file auth umum ini termasuk dalam semua file tipe auth lain, Anda perlu menghapus baris auth diperlukan dari file lain. Jika tidak, itu akan meminta kode verifikasi dua kali dan tidak memungkinkan Anda untuk masuk setelah.

Bungkus

Seperti yang Anda lihat, cukup mudah untuk menambahkan otentikasi ini. Jika Anda menggunakan manajer tampilan selain LightDM, Anda dapat dengan mudah hanya mengubah garis lightdm di atas sesuai. Karena perangkat seluler Anda dan sistem Anda sudah membagikan kunci rahasia ini, mereka harus selalu tidak sinkron. Tidak ada interaksi dengan server Google, atau sumber daya internet lainnya untuk pengaturan ini. Bahkan jika kedua perangkat sepenuhnya offline, kode verifikasi yang muncul di aplikasi Anda akan benar. Kapan pun Anda harus masuk melalui salah satu metode yang telah Anda aktifkan, pastikan untuk membuka aplikasi seluler Anda dan ambil kode verifikasi saat ini.

Selamat bersenang-senang!!


Mengomentari catatan selanjutnya. Ditulis dengan baik! +1 =)
Terrance

+1 - ini sangat keren dan ditulis dengan baik.
Nathan Osman

1
Dan kemudian telepon Anda memutuskan tidak memiliki kekuatan lagi dan ingin mematikan. :) +1
Rinzwind

Itulah tujuan dari kode awal, @Rinzwind: D

Ditambahkan dalam instruksi untuk mengaktifkan dua faktor pada TTY.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.