Có một câu hỏi tương tự , nhưng đó không phải là điều tôi muốn.
Tôi muốn biết nếu có một plugin hoặc tiện ích bổ sung cho lightdm hoặc gdm cho phép tôi xác thực bằng mật khẩu VÀ trình xác thực google. Tôi đang nói về việc nhập mã GA của bạn vào thông tin đăng nhập trên máy tính để bàn - cả GUI hoặc dòng lệnh, đăng nhập shell - để có quyền truy cập vào máy tính để bàn cục bộ của bạn.
Câu trả lời:
Hãy xem bài đăng trên blog này có tiêu đề: Xác thực hai bước của Google trên máy tính để bàn của bạn Nó là gì?
sudo apt-get install libpam-google-authenticator
google-authenticator
Theo bài đăng trên blog, có một phiên bản lightdm-kde có xác thực 2 yếu tố đi kèm có thể tận dụng Google Authenticator khi bạn thêm mô-đun PAM đi kèm vào môi trường của bạn.
auth required pam_google_authenticator.so
Kết quả là đăng nhập GUI của bạn trông như thế này:
Cài đặt mô-đun PAM của Google Authenticator như thế này:
sudo apt-get install libpam-google-authenticator
Bây giờ hãy chạy google-authenticator(bên trong một thiết bị đầu cuối) cho mọi người dùng bạn muốn sử dụng Google Authenticator và làm theo hướng dẫn. Bạn sẽ nhận được Mã QR để quét bằng điện thoại thông minh (hoặc liên kết) và mã khẩn cấp.
Để kích hoạt Google Authenticator, hãy xem bên trong thư mục /etc/pam.d/ . Có một tệp cho mọi cách để xác thực với máy tính của bạn. Bạn cần chỉnh sửa các tệp cấu hình cho mọi dịch vụ bạn muốn sử dụng với Google Authenticator với. Nếu bạn muốn sử dụng nó với SSH, chỉnh sửa sshd , nếu bạn muốn sử dụng nó trong LightDM, chỉnh sửa lightdm . Trong các tệp đó, thêm một trong các dòng sau:
auth required pam_google_authenticator.so nullok
auth required pam_google_authenticator.so
Sử dụng dòng đầu tiên, trong khi bạn vẫn đang di chuyển người dùng của mình sang Google Authenticator. Người dùng không có cấu hình vẫn có thể đăng nhập. Dòng thứ hai sẽ buộc sử dụng Google Authenticator. Người dùng không có nó, không thể đăng nhập nữa. Đối với sshd, điều khá quan trọng là bạn đặt dòng ở đầu tệp để ngăn chặn các cuộc tấn công vũ phu vào mật khẩu của bạn.
Để thêm nó vào LightDM, bạn có thể chạy nó:
echo "auth required pam_google_authenticator.so nullok" | sudo tee -a /etc/pam.d/lightdm
Bây giờ khi bạn đăng nhập, bạn sẽ được hỏi mật khẩu riêng và mã xác thực 2 bước.
Nếu bạn sử dụng mã hóa tại nhà (ecryptfs), tệp $ HOME / .google_authenticator sẽ không thể đọc được cho mô-đun PAM (vì nó vẫn được mã hóa). Trong trường hợp này, bạn cần di chuyển nó đến một nơi khác và cho PAM biết nơi tìm nó. Một dòng có thể có thể trông như thế này:
auth required pam_google_authenticator.so secret=/home/.ga/${USER}/.google_authenticator
Bạn cần tạo một thư mục cho mọi người dùng trong /home/.ga có tên người dùng và thay đổi quyền sở hữu thư mục đó cho người dùng. Sau đó, người dùng có thể chạy google-authenticatorvà di chuyển tệp .google-Authenticator đã tạo vào thư mục đó. Người dùng có thể chạy các dòng sau:
sudo install -g $(id -rgn) -o $USER -m 700 -d /home/.ga/$USER
google-authenticator
mv $HOME/.google_authenticator /home/.ga/$USER
Điều này sẽ cho phép các mô-đun truy cập vào tập tin.
Đối với các tùy chọn khác, hãy kiểm tra README .
Sử dụng xác thực hai yếu tố trên ssh được định cấu hình như được mô tả ở trên trước đây vẫn để hệ thống của bạn mở cho các cuộc tấn công vũ phu có thể xảy ra đối với mật khẩu của bạn. Điều đó có thể thỏa hiệp đã là yếu tố đầu tiên: mật khẩu của bạn. Vì vậy, cá nhân tôi quyết định thêm dòng sau không ở phía dưới nhưng tại đầu của /etc/pam.d/sshdtập tin như trước đây đã không được ghi nhận Cleary:
auth required pam_google_authenticator.so
Điều đó dẫn đến lời nhắc đầu tiên cho mã xác minh của bạn, sau đó cho mật khẩu của bạn (bất kể bạn đã nhập mã xác minh đúng chưa). Với cấu hình này, nếu bạn nhập mã xác minh hoặc mật khẩu không chính xác, bạn phải nhập lại cả hai. Tôi đồng ý rằng điều đó gây phiền toái hơn một chút, nhưng này: bạn muốn bảo mật hay chỉ là cảm giác an toàn?