Был похожий вопрос , но это не совсем то, что я хочу.
Я хотел бы знать, есть ли плагин или надстройка для lightdm или gdm, которая позволяет мне проходить аутентификацию с использованием моего пароля И Google authenticator. Я говорю о вводе вашего кода GA в настольную учетную запись - и GUI или командную строку, вход в оболочку - чтобы получить доступ к вашему локальному рабочему столу.
Ответы:
Посмотрите на это сообщение в блоге под названием: Двухэтапная аутентификация Google на вашем рабочем столе Что это?
sudo apt-get install libpam-google-authenticator
google-authenticator
Согласно сообщению в блоге, существует версия lightdm-kde с двухфакторной аутентификацией, которая может использовать Google Authenticator при добавлении включенного модуля PAM в вашу среду.
auth required pam_google_authenticator.so
В результате ваши логины GUI выглядят так:
Установите PAM-модуль Google Authenticator следующим образом:
sudo apt-get install libpam-google-authenticator
Теперь запустите google-authenticator(внутри терминала) для каждого пользователя, с которым вы хотите использовать Google Authenticator, и следуйте инструкциям. Вы получите QR-код для сканирования со своего смартфона (или ссылку) и аварийные коды.
Чтобы активировать Google Authenticator, загляните в каталог /etc/pam.d/ . Существует файл для каждого способа аутентификации на вашем компьютере. Вам необходимо отредактировать файлы конфигурации для каждого сервиса, который вы хотите использовать с Google Authenticator. Если вы хотите использовать его с SSH, отредактируйте sshd , если вы хотите использовать его в LightDM, отредактируйте lightdm . В этих файлах добавьте одну из следующих строк:
auth required pam_google_authenticator.so nullok
auth required pam_google_authenticator.so
Используйте первую строку, пока вы все еще переносите своих пользователей в Google Authenticator. Пользователи, у которых это не настроено, могут все еще войти в систему. Вторая строка принудительно использует Google Authenticator. Пользователи, у которых его нет, больше не могут войти. Для sshd очень важно, чтобы вы поместили строку в верхнюю часть файла, чтобы предотвратить атаку паролем.
Чтобы добавить его в LightDM, вы можете запустить это:
echo "auth required pam_google_authenticator.so nullok" | sudo tee -a /etc/pam.d/lightdm
Теперь, когда вы входите в систему, вас отдельно спросят ваш пароль и код двухэтапной аутентификации.
Если вы используете home-encryption (ecryptfs), файл $ HOME / .google_authenticator не будет читаем для PAM-модуля (поскольку он все еще зашифрован). В этом случае вам нужно переместить его в другое место и сообщить PAM, где его найти. Возможная строка может выглядеть так:
auth required pam_google_authenticator.so secret=/home/.ga/${USER}/.google_authenticator
Вам нужно создать каталог для каждого пользователя в /home/.ga, который имеет имя пользователя, и изменить владельца этого каталога на пользователя. Затем пользователь может запустить google-authenticatorи переместить созданный файл .google-authenticator в этот каталог. Пользователь может запустить следующие строки:
sudo install -g $(id -rgn) -o $USER -m 700 -d /home/.ga/$USER
google-authenticator
mv $HOME/.google_authenticator /home/.ga/$USER
Это позволит модулю получить доступ к файлу.
Для других вариантов, проверьте README .
Использование двухфакторной аутентификации в ssh, настроенном, как описано выше, ранее все еще оставляет вашу систему открытой для возможных атак методом подбора паролей. Это может поставить под угрозу уже первый фактор: ваш пароль. Так что лично я решил добавить следующую строку не на дне , а в верхней части /etc/pam.d/sshdфайла , как ранее не было отмечено Клири:
auth required pam_google_authenticator.so
В результате сначала запрашивается код подтверждения, а затем пароль (независимо от того, правильно ли вы ввели код подтверждения). В этой конфигурации, если вы ввели неверный код или пароль, вам придется вводить их снова. Я согласен, что это немного больше неприятностей, но эй: вы хотели безопасность или просто чувство безопасности?