Sistemul Linux este recunoscut pentru cerința unei parole la nivel de sistem de bază. Această caracteristică este frecvent considerată ca un factor care face Linux ușor mai sigur în comparație cu alte sisteme de operare (deși nu este infailibil). O parolă robustă și o politică de sudoer bine definită sunt măsuri excelente, dar nu sunt întotdeauna suficiente pentru a asigura protecția completă. Din acest motiv, mulți profesioniști din domeniul securității au început să adopte autentificarea cu doi factori pe platformele Linux.
Acest material informativ își propune să exploreze modalitatea de a implementa autentificarea cu doi factori în Linux utilizând aplicația Google Authenticator.
Instalarea Modulului
Funcționalitatea Google Authenticator este posibilă datorită unui modul PAM. Acest modul se integrează perfect cu GDM, precum și cu alți manageri de desktop care oferă suport. Iată pașii necesari pentru instalarea sa pe un sistem Linux.
Notă: Înainte de a configura modulul pe computerul dumneavoastră Linux, este esențial să descărcați aplicația Google Authenticator din Magazinul Google Play (sau) din App Store-ul Apple, deoarece este o componentă centrală a procesului.
Ubuntu
sudo apt install libpam-google-authenticator
Debian
sudo apt-get install libpam-google-authenticator
Arch Linux
În mod implicit, Arch Linux nu oferă suport pentru modulul PAM de autentificare Google. Utilizatorii vor trebui să obțină și să compileze modulul printr-un pachet AUR. Este necesară descărcarea celei mai recente versiuni a PKGBUILD sau utilizarea unui asistent AUR pentru a realiza acest proces.
Fedora
sudo dnf install google-authenticator
OpenSUSE
sudo zypper install google-authenticator-libpam
Alte Distribuții Linux
Codul sursă pentru versiunea Linux a Google Authenticator și pluginul libpam sunt disponibile pe Github. Pentru distribuțiile Linux mai puțin obișnuite, accesați acest link și urmați instrucțiunile pentru a compila din codul sursă.
Configurarea Google Authenticator pe Linux
Pentru ca modulul PAM să funcționeze corect cu pluginul de autentificare Google, este necesară editarea unui fișier de configurare. Deschideți terminalul și rulați următoarea comandă:
sudo nano /etc/pam.d/common-auth
În fișierul „common-auth” veți observa o multitudine de comentarii referitoare la modul în care sistemul gestionează setările de autentificare. Ignorați aceste comentarii și navigați până la secțiunea “# here are the per-package modules (the „Primary” block)”. Sub această linie, adăugați următoarea linie nouă:
auth required pam_google_authenticator.so
Salvați modificările prin apăsarea CTRL + O și închideți editorul Nano utilizând CTRL + X.
Reveniți la terminal și executați comanda „google-authenticator”. Veți fi ghidat prin câteva întrebări.
Prima întrebare va fi „Do you want authentication tokens to be time-based?”. Răspundeți cu „da” apăsând tasta „y”.
După acest pas, instrumentul va genera o cheie secretă nouă și coduri de urgență. Vă recomandăm să înregistrați aceste informații.
Continuați și răspundeți la următoarele trei întrebări cu „da”, urmat de „nu” și „nu”.
Ultima întrebare se referă la limitarea ratei de încercări, care permite doar 3 încercări eșuate la fiecare 30 de secunde. Din motive de securitate, este recomandat să răspundeți cu „da”, dar puteți alege să ignorați această limitare răspunzând „nu”.
Configurarea Aplicației Google Authenticator
Componenta Linux a fost configurată. Acum este timpul să configurați aplicația Google Authenticator. Deschideți aplicația și selectați „introduceți o cheie furnizată”, care va afișa o zonă unde trebuie să completați informațiile contului.
În această zonă, introduceți un nume descriptiv pentru computerul pe care îl utilizați, împreună cu cheia secretă pe care ați notat-o anterior. După ce introduceți aceste informații, aplicația Google Authenticator va fi gata de utilizare.
Autentificarea
Autentificarea cu doi factori este configurată atât pe Linux cât și pe dispozitivul dumneavoastră mobil, funcționând corect. Pentru a vă autentifica, selectați utilizatorul în GDM (sau LightDM). După selectare, sistemul va solicita un cod de autentificare. Deschideți aplicația Google Authenticator și introduceți codul generat.
După introducerea codului corect, veți putea introduce parola utilizatorului.
Notă: Configurația autentificării cu Google Authenticator pe Linux nu se limitează doar la managerul de conectare. Ea se aplică de fiecare dată când un utilizator încearcă să obțină acces root, să folosească privilegiile sudo sau să execute orice acțiune care necesită parolă.
Concluzie
Autentificarea cu doi factori adaugă un strat suplimentar de securitate sistemului Linux, care ar trebui să fie implementat în mod standard. Cu această funcție activă, obținerea accesului neautorizat devine considerabil mai dificilă.
Deși uneori poate fi incomodă (dacă nu introduceți codul suficient de repede), autentificarea cu doi factori este un avantaj pentru orice manager de desktop Linux.