Judulnya cukup banyak mengatakannya. Saya telah mendengar lebih banyak tentang otentikasi 2 faktor, kata sandi satu kali, bukti keras, dan fitur keamanan lainnya yang ditingkatkan. Dengan semakin berkurangnya keamanan hanya menggunakan kata sandi, saya ingin tahu bagaimana saya dapat meningkatkan keamanan saya di Ubuntu. Saya menggunakan 14,04 LTS dengan Unity.
Jawaban:
Anda dapat menggunakan Modul Otentikasi Pluggable (PAM) sumber terbuka yang dibuat oleh Google, yang dikenal sebagai Google Authenticator . Modul ini tersedia dalam repositori standar, serta dari GitHub sehingga Anda dapat membangun dari sumber. Digabungkan dengan Android, iOS, atau Blackberry App dengan nama yang sama, itu menciptakan kode waktu-sensitif berdasarkan waktu untuk otentikasi bersama dengan kata sandi Anda. Karena ini adalah modul PAM, ia dapat dijatuhkan di mana saja . Ayo mulai!
Untuk memulai, Anda dapat menginstal PAM dengan yang berikut ini:
sudo apt-get install libpam-google-authenticator
Sederhana!
Setelah diinstal, Anda juga ingin menginstal aplikasi seluler yang sesuai untuk Android, iOS, atau Blackberry (tergantung pada platform seluler Anda). Masing-masing tidak berguna tanpa yang lain. Setelah Anda memiliki aplikasi yang Anda perlukan untuk perangkat seluler Anda, jalankan yang berikut di terminal:
google-authenticator
Ini akan mulai dengan mengajukan beberapa pertanyaan kepada Anda. Pertanyaan pertama adalah satu-satunya yang harus Anda jawab "Ya", dan ia menanyakan apakah Anda ingin kode tersebut berbasis waktu. Setelah itu, baca setiap pertanyaan dan buat pilihan yang paling masuk akal bagi Anda.
Setelah menyelesaikan pengaturan awal, Anda akan melihat kode QR yang sangat besar di terminal Anda, serta beberapa informasi lainnya. Baris yang bertuliskan "Your New Secret Key Is:" adalah baris yang sangat dibutuhkan jika Anda tidak ingin menggunakan kode QR untuk memasangkan perangkat Anda, jadi jangan tutup jendela ini sampai Anda siap! "Kode awal" ini memberi Anda juga penting, karena itu adalah apa yang akan Anda gunakan untuk masuk jika Anda kehilangan perangkat seluler Anda. Tuliskan dan simpan di tempat yang aman.
Sekarang, di perangkat seluler Anda, buka aplikasi Google Authenticator Anda dan pilih "Siapkan akun". Anda dapat memindai kode QR yang dihasilkan, atau pilih "Gunakan kunci yang disediakan". Jika Anda memindai kode QR, semuanya akan secara otomatis disimpan di bawah akun bernama "your_user @ your_host". Namun, jika Anda memilih "Gunakan kunci yang disediakan", Anda harus memasukkan nama, kunci, dan jenis token secara manual. Nama bisa apa saja yang Anda inginkan. Kuncinya adalah kunci rahasia yang dihasilkan sebelumnya. Jenisnya akan berbasis waktu default. Setelah mengaturnya, Anda akan melihat akun di panel utama aplikasi Google Authenticator, serta timer berbentuk lingkaran di sebelahnya. Penghitung waktu itu habis setiap 30 detik, dan kode baru dihasilkan.
Di sinilah keajaibannya. Karena ini adalah modul PAM, modul ini dapat digunakan di berbagai tempat. Saya akan berjalan menambahkan otentikasi untuk sudopermintaan, masuk SSH, dan masuk lightdm. Namun, setelah membaca tutorial ini, Anda akan dapat mengaktifkannya di tempat lain berdasarkan teknik yang sama.
Saya melakukan ini dulu karena ada langkah ekstra. Hal pertama yang perlu Anda lakukan adalah mengedit file konfigurasi SSH Anda:
gksudo gedit /etc/ssh/sshd_config
Cari baris yang mengatakan:
ChallengeResponseAuthentication no
dan ubah "tidak" menjadi "ya".
Sekarang, Anda perlu mengedit modul PAM untuk ssh:
gksudo gedit /etc/pam.d/sshd
Di akhir file ini, tambahkan baris berikut:
auth required pam_google_authenticator.so nullok
Argumen "nullok" memberi tahu sistem untuk tidak meminta kode verifikasi jika pengguna belum mengatur otentikasi dua faktor. Setelah edit itu, lanjutkan dan mulai ulang layanan ssh Anda:
sudo service ssh restart
sudo PermintaanEdit file PAM untuk sudo:
gksudo gedit /etc/pam.d/sudo
Tambahkan baris berikut di bagian paling akhir:
auth required pam_google_authenticator.so nullok
Sekarang setiap sudopermintaan akan meminta kode verifikasi serta kata sandi.
Edit file PAM untuk LightDM:
gksudo gedit /etc/pam.d/lightdm
Tambahkan baris berikut di bagian paling akhir:
auth required pam_google_authenticator.so nullok
Itu dia! Setiap kali Anda masuk melalui GUI, ia akan meminta kode verifikasi setelah kata sandi Anda.
Bahkan jika Anda mengaktifkan metode di atas, masih tidak akan meminta kode verifikasi jika Anda beralih ke TTY dengan CTRL+ ALT+ F#. Untuk memperbaiki ini, edit common-authfile PAM:
gksudo gedit /etc/pam.d/common-auth
dan tambahkan baris berikut sampai akhir:
auth required pam_google_authenticator.so nullok
Seperti yang Anda lihat, cukup mudah untuk menambahkan otentikasi ini. Jika Anda menggunakan manajer tampilan selain LightDM, Anda dapat dengan mudah hanya mengubah garis lightdm di atas sesuai. Karena perangkat seluler Anda dan sistem Anda sudah membagikan kunci rahasia ini, mereka harus selalu tidak sinkron. Tidak ada interaksi dengan server Google, atau sumber daya internet lainnya untuk pengaturan ini. Bahkan jika kedua perangkat sepenuhnya offline, kode verifikasi yang muncul di aplikasi Anda akan benar. Kapan pun Anda harus masuk melalui salah satu metode yang telah Anda aktifkan, pastikan untuk membuka aplikasi seluler Anda dan ambil kode verifikasi saat ini.
FreeOTP adalah alternatif sumber terbuka untuk aplikasi Android Google Authenticator di Google Play (yang kode saat ini bukan open source). FreeOTP tersedia di F-Droid (dan Google Play ).