如何通过两方面身份验证保护Linux Ubuntu

恶意的黑客与信息安全专业人员之间不断展开的战争不断加剧。根据美国劳工统计局的一项研究,信息安全工作的预计增长率远高于所有其他职业。作为无辜的旁观者,我们可以采取一些措施来阻止坏人。

双因素身份验证(2FA)已经存在了一段时间。它要求使用两种身份验证方法来验证用户的身份。这通常包括常规的用户名和密码,以及通过短信发送到您的移动设备的验证码。这意味着,即使您的密码被盗(如何使密码更安全),顽皮的黑客也需要访问您的移动设备才能完全访问您的帐户。

有报告显示,恶意伪装到移动运营商并声称“放错了" SIM卡以便获得受害者手机号码的个人。这仍然证明仍有改进的余地,但是2FA还超越了短信验证功能。本指南将帮助设置Ubuntu服务器和桌面版本的增强安全性,并结合使用Google Authenticator进行两因素身份验证。

注意事项和先决条件

进行设置意味着所有用户的系统在以下情况下将需要Google Authenticator的验证码:

  • 登录系统
  • 运行sudo命令

    • 这是时候了,因此增加的安全性至关重要。特别是在存储敏感数据的机器上。本指南将使用:

  • Ubuntu 16.04(台式机或服务器)
  • Google身份验证器应用程序(来自Google Play商店或Apple App Store)

    • 安装Google身份验证器

    我们已经介绍过,我们将使用Google身份验证器作为防范不必要访问的第二道防线。首先让我们完成方程式的移动部分。安装步骤与安装任何其他应用程序完全相同。以下安装步骤适用于Google Play商店,但在Apple App Store中应相同。

    在您的Android设备上打开Goog​​le Play商店,然后搜索 google身份验证器 >。找到并点击正确的条目,并注意该条目是否由Google Inc.发布。然后在出现提示时,依次点击安装接受,然后等待安装完成。

    下一步,在台式机或服务器上启动终端会话。

    运行以下命令:

    sudo apt-get install libpam-google-authenticator

    出现提示时,输入密码并按输入。如果出现提示,请键入 Y 并再次按下 Enter ,然后坐下来并完成安装

    配置

    现在,需要编辑一个文件以向您的Linux盒子添加两步身份验证。运行以下命令:

    sudo nano /etc/pam.d/common-auth

    在不远处查找以下行:

    auth [success=1 default=ignore] pam_unix.so nullok_secure

    直接在该行上方添加以下内容:

    auth required pam_google_authenticator.so

    您的文件应该如下所示:

    Ctrl + X ,然后按 Y 保存并关闭文件。

    设置每个用户的注册

    下一步将最终将您的帐户链接到Google Authenticator。将需要为所有登录到系统的用户运行此步骤。我们的示例只有一个用户 PCPC.me 。但是,这些步骤对于您系统上的任何其他用户都是相同的。

    在您的终端中,运行以下命令:

    google-authenticator

    仔细查看我们提供的内容: p>

  • QR码
  • 验证码
  • 新密钥
  • 5个紧急暂存码

    • QR码代码和密钥几乎具有相同的功能。我们将在稍后再次讨论。验证码是一次性使用码,如有必要,您可以立即使用。暂存代码是一次性使用代码,可在您手拿移动设备时不使用它。您可以将它们打印出来并存储在热核锁和钥匙下,或者忽略它们。最终,这取决于您忘记或丢失移动设备的可能性。

    您还将被问到一系列问题。默认值绰绰有余,您可以对所有默认值回答 Y 。但是,请随时根据需要更改它们。暂时不要关闭窗口或终端会话。

    设置移动应用

    在继续使用任何其他用户之前,请先完成当前登录的用户。

    如果这是第一次在移动设备上启动Google Authenticator,请点击开始。或者,在主窗口中,单击底角的加号图标。如果您的终端窗口上的分辨率足以查看QR码,请选择扫描条形码输入提供的密钥(如果您的移动设备摄像头类似于土豆)。如果选择输入密钥,则现在需要输入一个帐户名,以帮助您记住该帐户与哪个帐户有关。然后输入您在终端窗口中提供的验证码。现在只需按 ADD

    Scanning your barcode will do these three steps simultaneously. And voila! Your mobile device and system now have an added layer of protection. The only possible way some ill-intentioned individual can gain access to your system is if they crack your password and get access to the mobile device you have configured.

    最终步骤和测试

    您可能有多个人在使用此特定系统。在我们的示例中, slaghoople 是其他用户。在终端会话中运行以下命令:

    sudo su slaghoople

    在移动设备上打开Goog​​le Authenticator应用。键入应用程序在终端窗口中提供的六位数验证码。输入您的sudo密码,然后按Enter。现在,您应该已经登录。以新用户身份,发出以下命令:

    google-authenticator

    您现在可以按照与上述第一个用户完全相同的步骤进行操作。回答问题后,打开您的Google Authenticator移动应用。添加另一个帐户。输入 slaghoople 作为帐户名,以帮助您区分移动设备上的两者。选择扫描条形码或键入验证码。 Slaghoople 现在将需要移动应用程序中的代码以及她的sudo密码才能登录和发出提升的命令。冲洗并为其他用户重复。设置完所有用户后,您会发现尝试登录或运行sudo命令需要输入验证码。

    就是这样。您的Linux机器现在比以前更加安全。有人可能会认为此过程很麻烦。当然是的!就是这一点!

    您是否曾经泄漏过密码并且系统受到威胁?您如何保护敏感数据?您当前是否使用两因素身份验证?在评论中让我们知道!

    图片来源:Dave Clark通过Shutterstock.com的数码照片

    标签: Linux 双重身份验证