Denne prosessen ble utført på Ubuntu 14.04 med standard Unity desktop og LightDM login manager, men prinsippene er de samme på de fleste Linux distribusjoner og stasjonære datamaskiner.
Vi har tidligere vist deg hvordan du krever Google Authenticator for ekstern tilgang via SSH, og denne prosessen er lik. Dette krever ikke Google Authenticator-appen, men fungerer med alle kompatible apper som implementerer TOTP-godkjenningsordningen, inkludert Authy.
Installer Google Authenticator PAM
Som når du setter opp dette for SSH-tilgang, må vi først installere riktig PAM-programvare ("pluggable-authentication module"). PAM er et system som lar oss plugge ulike typer autentiseringsmetoder til et Linux-system og kreve dem.
På Ubuntu vil følgende kommando installere Google Authenticator PAM. Åpne et Terminal-vindu, skriv inn følgende kommando, trykk Enter og angi passordet ditt. Systemet laster ned PAM fra Linux-distribusjonens programvarelagre og installerer det:
sudo apt-get install libpam-google-authenticator
Som vi påpekte tidligere, er denne løsningen ikke avhengig av å ringe hjem til Googles servere. Den implementerer standard TOTP-algoritmen og kan brukes selv når datamaskinen ikke har internettilgang.
Opprett autentiseringstaster
Du må nå opprette en hemmelig autentiseringsnøkkel og skrive den inn i Google Authenticator-appen (eller en lignende) -app på telefonen din. Først logger du på som brukerkonto på ditt Linux-system. Åpne et terminalvindu og kjøre google-autentifikatoren kommando. Type y og følg instruksjonene her. Dette vil opprette en spesiell fil i den gjeldende brukerkontoens katalog med Google Autentiseringsinformasjonen.
Pass på å legge ned dine nødskrapelodder, som du kan bruke til å logge inn med hvis du mister telefonen.
Aktiver godkjenning
Her er det ting som blir litt dicy. Da vi forklarte hvordan du aktiverer to-faktor for SSH-pålogginger, krevde vi det bare for SSH-pålogginger. Dette sørget for at du fortsatt kunne logge inn lokalt hvis du mistet godkjenningsapplikasjonen din eller hvis noe gikk galt.
Siden vi vil aktivere tofaktorautentisering for lokale pålogginger, er det potensielle problemer her. Hvis noe går galt, kan det hende du ikke kan logge inn. Med dette i betraktning, går vi deg igjennom og aktiverer dette bare for grafiske pålogginger. Dette gir deg en fluktluke hvis du trenger det.
Aktiver Google Authenticator for grafiske pålogginger på Ubuntu
Du kan alltid aktivere to-trinns autentisering for bare grafiske pålogginger, og hopper over kravet når du logger deg inn fra tekstmeldingen. Dette betyr at du enkelt kan bytte til en virtuell terminal, logge inn der, og tilbakestille endringene, slik at Gogole Authenciator ikke ville være nødvendig hvis du opplever et problem.
Sikker, dette åpner et hull i autentiseringssystemet, men en angriper med fysisk tilgang til systemet kan allerede utnytte det uansett. Derfor er tofaktorsautentisering spesielt effektiv for eksterne pålogginger via SSH.
Slik gjør du dette for Ubuntu, som bruker LightDM-innloggingsbehandling. Åpne LightDM-filen for redigering med en kommando som følgende:
sudo gedit /etc/pam.d/lightdm
(Husk at disse spesifikke trinnene bare fungerer hvis Linux-distribusjonen og skrivebordet bruker LightDM-loggbehandling.)
auth required pam_google_authenticator.so nullok
"Nullok" -biten på slutten forteller systemet for å la en bruker logge på, selv om de ikke har kjørt google-autentiseringskommandoen for å konfigurere tofaktorautentisering. Hvis de har satt opp, må de legge inn en tidsbasert kode - ellers vil de ikke. Fjern "nullok" og brukerkontoer som ikke har konfigurert en Google Authenticator-kode, vil ikke kunne logge inn grafisk.
Hvis du bruker Home Directory Encryption
Eldre utgivelser av Ubuntu ga et enkelt "hjemmemappe kryptering" alternativ som krypterte hele hjemmekatalogen til du angir passordet ditt. Spesifikt, dette bruker ecryptfs. Men fordi PAM-programvaren er avhengig av en Google Authenticator-fil som er lagret i din hjemmekatalog som standard, krypterer krypteringen PAM-lesingen av filen, med mindre du sikrer at den er tilgjengelig i ukryptert form til systemet før du logger inn. Les README for mer informasjon om å unngå dette problemet hvis du fortsatt bruker de utdaterte hjemmekatalogkrypteringsalternativene.
Moderne versjoner av Ubuntu tilbyr fulldisk-kryptering i stedet, som vil fungere bra med alternativene ovenfor. Du trenger ikke å gjøre noe spesielt
Hjelp, det brøt!
Fordi vi bare aktiverte dette for grafiske pålogginger, bør det være enkelt å deaktivere hvis det forårsaker et problem. Trykk på en tastekombinasjon som Ctrl + Alt + F2 for å få tilgang til en virtuell terminal og logg inn der med brukernavnet og passordet ditt. Du kan da bruke en kommando som sudo nano /etc/pam.d/lightdm for å åpne filen for redigering i en terminal tekstredigerer. Bruk vår guide til Nano for å fjerne linjen og lagre filen, og du vil kanskje logge på normalt igjen.
Ytterligere dokumentasjon om hvordan du bruker og installerer denne PAM-modulen, finner du i programvarens README-fil på GitHub.