Giunsa Paggamit ang Two-Factor Authentication sa Ubuntu
Sa paglabay sa panahon, ang tradisyonal nga username ug password authentication napamatud-an nga dili igo sa paghatag lig-on nga seguridad sa mga aplikasyon ug mga sistema. Ang mga username ug mga password dali nga ma-crack gamit ang daghang mga himan sa pag-hack, nga magbilin sa imong sistema nga huyang sa mga paglapas. Tungod niini, ang bisan unsang kompanya o entidad nga nagseryoso sa seguridad kinahanglan nga ipatuman ang 2-Factor authentication.
Ang kolokyal nga nailhan nga MFA (Multi-Factor Authentication), ang 2-Factor authentication naghatag og dugang nga layer sa seguridad nga nagkinahanglan sa mga tiggamit sa paghatag og piho nga mga detalye sama sa mga code, o OTP (One Time Password) sa dili pa o human sa pag-authenticate gamit ang naandan nga username ug password.
Karong panahona daghang mga kompanya sama sa Google, Facebook, Twitter, ug AWS, sa paghisgot sa pipila nga naghatag sa mga tiggamit sa pagpili sa pag-set up sa MFA aron mapanalipdan pa ang ilang mga account.
Sa kini nga giya, gipakita namon kung giunsa nimo magamit ang Two-Factor Authentication sa Ubuntu.
Lakang 1: I-install ang PAM Package sa Google
Una, i-install ang Google PAM nga pakete. Ang PAM, usa ka minubo sa Pluggable Authentication Module, usa ka mekanismo nga naghatag ug dugang nga layer sa authentication sa Linux platform.
Ang package gi-host sa Ubuntu repository, busa ipadayon ug gamita ang apt command aron i-install kini sama sa mosunod:
$ sudo apt install libpam-google-authenticator
Kung giaghat, pindota ang Y ug pindota ang ENTER aron magpadayon sa pag-install.
Lakang 2: I-install ang Google Authenticator App sa Imong Smartphone
Dugang pa, kinahanglan nimo nga i-install ang aplikasyon sa Google Authenticator sa imong tablet o smartphone. Ang app maghatag kanimo og 6 ka digit nga OTP code nga awtomatikong mag-renew matag 30 segundos.
Lakang 3: I-configure ang Google PAM sa Ubuntu
Uban sa Google Authenticator app sa lugar, kita magpadayon ug i-configure ang Google PAM package sa Ubuntu pinaagi sa pag-usab sa /etc/pam.d/common-auth file sama sa gipakita.
$ sudo vim /etc/pam.d/common-auth
Idugang ang linya sa ubos sa file ingon sa gipakita.
auth required pam_google_authenticator.so
I-save ang file ug paggawas.
Karon, padagana ang sugo sa ubos aron masugdan ang PAM.
$ google-authenticator
Kini makapukaw sa usa ka magtiayon nga mga pangutana sa imong terminal screen. Una, pangutan-on ka kung gusto nimo ang mga token sa pag-authenticate nga gibase sa oras.
Ang mga token sa panghimatuud nga gibase sa oras matapos pagkahuman sa usa ka piho nga oras. Sa kasagaran, kini human sa 30 ka segundo, diin ang usa ka bag-ong set sa mga token namugna. Kini nga mga token gikonsiderar nga mas luwas kay sa non-time-based nga mga token, ug busa, type y para sa oo ug i-hit ang ENTER.
Sunod, usa ka QR code ang ipakita sa terminal sama sa gipakita sa ubos ug sa ubos niini, pipila ka impormasyon ang ipakita. Ang impormasyon nga gipakita naglakip sa:
- Sekretong yawe
- Verification code
- Emerhensya nga scratch code
Kinahanglan nimo nga i-save kini nga impormasyon sa usa ka vault alang sa umaabot nga pakisayran. Ang mga emergency scratch code labi ka mapuslanon kung mawala nimo ang imong authenticator device. Kung adunay mahitabo sa imong authentication device, gamita ang mga code.
Ilunsad ang Google Authenticator App sa imong smart device ug pilia ang 'Scan QR code' aron ma-scan ang QR code nga gipresentar.
NOTE: Kinahanglan nimo nga i-maximize ang terminal window aron ma-scan ang tibuok QR code. Sa higayon nga ma-scan ang QR code, usa ka unom ka digit nga OTP nga mausab matag 30 segundos ang ipakita sa App.
Pagkahuman, Pilia ang y aron ma-update ang Google authenticator file sa imong home folder.
Sa sunod nga prompt, limitahan ang pag-log in sa usa lang ka log sa matag 30 segundos aron mapugngan ang mga pag-atake nga mahimong motumaw tungod sa man-in-the-middle attacks. Busa pilia ang y
Sa sunod nga prompt, Pilia ang n aron dili tugotan ang extension sa gidugayon sa oras nga nagtubag sa time-skew tali sa server ug kliyente. Kini ang mas luwas nga kapilian gawas kung makasinati ka og mga hagit nga adunay dili maayo nga pag-synchronize sa oras.
Ug sa katapusan, mahimo ang rate-limiting sa 3 ra nga pagsulay sa pag-login.
Niini nga punto, nahuman na namo ang pagpatuman sa 2-factor authentication feature. Sa tinuud, kung nagpadagan ka bisan unsang sudo nga mando, aghaton ka alang sa usa ka verification code nga makuha nimo gikan sa Google Authenticator app.
Mahimo nimong dugang nga mapamatud-an kini pinaagi sa pag-reboot ug sa higayon nga makaabut ka sa screen sa pag-login, hangyoon ka nga ihatag ang imong verification code.
Human nimo gihatag ang imong code gikan sa Google Authenticator app, ihatag lang ang imong password aron ma-access ang imong sistema.
Lakang 4: I-integrate ang SSH sa Google Authenticator
Kung gusto nimo gamiton ang SSH sa module sa Google PAM, kinahanglan nimo nga i-integrate ang duha. Adunay duha ka paagi nga mahimo nimo kini.
Aron mahimo ang SSH password authentication alang sa usa ka regular nga user, una, ablihi ang default SSH configuration file.
$ sudo vim /etc/ssh/sshd_config
Ug ibutang ang mosunod nga mga hiyas sa 'oo' ingon sa gipakita
Para sa root user, ibutang ang 'PermitRootLogin' attribute sa yes.
PermitRootLogin yes
I-save ang file ug paggawas.
Sunod, usba ang lagda sa PAM alang sa SSH
$ sudo vim /etc/pam.d/sshd
Dayon idugang ang mosunod nga linya
auth required pam_google_authenticator.so
Katapusan, i-restart ang serbisyo sa SSH aron matuman ang mga pagbag-o.
$ sudo systemctl restart ssh
Sa pananglitan sa ubos, nag-log in kami sa sistema sa Ubuntu gikan sa kliyente sa Putty.
Kung naggamit ka sa panghimatuud sa publiko nga yawe, balika ang mga lakang sa ibabaw ug idugang ang linya nga gipakita sa ilawom sa /etc/ssh/sshd_config file.
AuthenticationMethods publickey,keyboard-interactive
Sa makausa pa, usba ang lagda sa PAM alang sa SSH daemon.
$ sudo vim /etc/pam.d/sshd
Dayon idugang ang mosunod nga linya.
auth required pam_google_authenticator.so
I-save ang file ug i-restart ang serbisyo sa SSH sama sa among nakita kaniadto.
$ sudo systemctl restart ssh
I-disable ang Two-Factor Authentication sa Ubuntu
Kung mawala nimo ang imong aparato sa pag-authenticate o ang imong sekreto nga yawe, ayaw pagbiaybiay. Dali nimo ma-disable ang 2FA authentication layer ug mobalik sa imong simple nga username/password login method.
Una, i-restart ang imong sistema ug pindota ang e sa unang GRUB entry.
Pag-scroll ug pangitaa ang linya nga nagsugod sa linux ug natapos sa hilom nga splash $vt_handoff. Idugang ang linya systemd.unit=rescue.target ug pindota ang ctrl+x aron makasulod sa rescue mode
Kung makuha nimo ang kabhang, ihatag ang root password ug pindota ang ENTER.
Sunod, ipadayon ug tangtanga ang .google-authenticator file sa imong home directory sama sa mosunod. Siguroha nga ilisan ang username sa imong kaugalingong username.
# rm /home/username/.google_authenticator
Dayon usba ang /etc/pam.d/common-auth file.
# $ vim /etc/pam.d/common-auth
Komento o delete ang mosunod nga linya:
auth required pam_google_authenticator.so
I-save ang file ug i-reboot ang imong sistema. Sa login screen, kinahanglan ra nimo nga ihatag ang imong username ug password aron ma-authenticate.
Ug kini nagdala kanato sa katapusan niini nga artikulo. Malipay kami nga makadungog kung giunsa kini nahitabo.