כיצד להגדיר אימות דו-שלבי עבור כניסות לשולחן העבודה של Linux לאבטחה נוספת

אם אתה רוצה להוסיף שכבת אבטחה נוספת למערכת ההפעלה השולחנית של לינוקס, ניתן לעשות זאת תוך מספר דקות בלבד.

לפי התכנון, לינוקס היא מערכת הפעלה מאובטחת בערך כמו שתמצאו. עם זאת, רמת אבטחה זו לא אומרת שאין צעדים שתוכל לנקוט כדי להפוך אותה למאובטחת יותר.

דבר אחד שאתם יכולים לעשות הוא להפעיל אימות דו-שלבי (2FA) עבור כניסות לשולחן העבודה. כאשר תכונה זו מתווספת לתהליך, אתה מקיש על קוד בן שש ספרות שאתה מאחזר מאפליקציית אימות בטלפון שלך כדי להיכנס לשירותים ולסיסמת המשתמש שלך.

תאמינו או לא, אימות דו-שלבי הוא די קל להתקנה. הייתי מציע, עם זאת, לנסות גישה זו על מכונת בדיקה. אתה לא רוצה להינעל מחוץ לשולחן העבודה הראשי שלך, כי, אם זה יקרה, זה יכול להיות סיוט לפתור.

עם זאת, הרשו לי להראות לכם כיצד להגדיר אימות דו-שלבי.

התקנת התוכנה עבור אימות דו-שלבי

מה תזדקק לו: כדי שגישה זו תעבוד, תזדקק למופע פועל של Linux. אני אדגים עם Zorin OS, שהיא הפצה מבוססת אובונטו. עם הפצה מבוססת פדורה או קשת, שנה את פקודת ההתקנה (החלפת apt עבור dnf או pacman). תזדקק גם לאפליקציית אימות (כגון Authy או Google Authenticator) המותקנת בטלפון הנייד שלך.

עם זאת, בואו נתקין כמה תוכנות.

1. פתח את חלון הטרמינל שלך

הדבר הראשון שיש לעשות הוא להיכנס להפצת לינוקס שלך ולפתוח את חלון הטרמינל.

2. התקן את Google Authenticator

בתוך אפליקציית המסוף, התקן את התוכנה הדרושה עם הפקודה:

סודו apt-get התקן libpam-google-authenticator -y

3. הגדר את הכניסה

פתח את קובץ התצורה הדרוש באמצעות הפקודה:

סודו ננו /etc/pam.d/common-auth

בתחתית הקובץ, הוסף את הפרטים הבאים:

אימות נדרש pam_google_authenticator.so

שמור וסגור את הקובץ.

עכשיו, לפני שאתה מתנתק ובודק את התוכנה, אני ממליץ לך לאבטח את המעטפת לתוך המכונה ולהשאיר את החיבור פתוח עד שאתה בטוח שזה עובד. אם המערכת אינה פועלת, אתה עדיין מחובר ובאפשרותך לפתור בעיות. למרבה המזל, ההתקנה לעיל עבדה ללא רבב עבורי.

4. הפעל את מאמת Google

מהטרמינל, הנפיקו את הפקודה:

מאמת Google

קוד QR יופיע בטרמינל. פתח את אפליקציית האימות במכשיר הנייד שלך והוסף חשבון חדש על ידי סריקת קוד ה- QR (האופן שבו תעשה זאת תלוי באפליקציה שבה אתה משתמש). לאחר השלמת הסריקה, תתבקש להקליד את הקוד בן שש הספרות מהיישום בחלון מסוף Linux.

יוצגו בפניך כמה קודי "שריטה" לשעת חירום. הקפד לשמור קודים אלה (לשימוש אם תאבד את הטלפון שלך).

תישאל את השאלות הבאות:

  • האם ברצונך שאעדכן את הקובץ "/home/jack/.google_authenticator" שלך? (י/נ) י
  • האם ברצונך לא לאפשר שימושים מרובים באותו אסימון אימות? זה מגביל אותך לכניסה אחת בערך כל 30 שניות, אבל זה מגדיל את הסיכויים שלך להבחין או אפילו למנוע התקפות אדם באמצע? (י/נ) י
  • כברירת מחדל, אסימון חדש נוצר כל 30 שניות על ידי האפליקציה לנייד. על מנת לפצות על הטיית זמן אפשרית בין הלקוח לשרת, אנו מאפשרים אסימון נוסף לפני ואחרי הזמן הנוכחי. הדבר מאפשר הטיית זמן של עד 30 שניות בין שרת האימות ללקוח. אם אתה נתקל בבעיות של סינכרון זמן גרוע, באפשרותך להגדיל את החלון מגודל ברירת המחדל של 3 קודים מותרים (קוד אחד קודם, הקוד הנוכחי, הקוד הבא) ל- 17 קודים מותרים (8 הקודים הקודמים, הקוד הנוכחי ו- 8 הקודים הבאים). פעולה זו תאפשר הטיית זמן של עד 4 דקות בין הלקוח לשרת. האם אתה רוצה לעשות זאת? (י/נ) י
  • אם המחשב שאליו אתה נכנס אינו מוקשה מפני ניסיונות התחברות בכוח גס, באפשרותך להפעיל הגבלת קצב עבור מודול האימות. כברירת מחדל, פעולה זו מגבילה את התוקפים ללא יותר מ-3 ניסיונות התחברות בכל 30 שניות. האם ברצונך לאפשר הגבלת תעריפים? (י/נ)

הקפד לענות "y" לכל השאלות.

עם שלבים אלה מטופלים, עכשיו אתה יכול לאתחל את המערכת. כאשר אתה מתחבר, תתבקש לספק את סיסמת המשתמש שלך ואת הקוד בן שש הספרות מאפליקציית האימות בטלפון הנייד שלך.

דבר אחד שיש לזכור הוא שתהליך זה עובד רק עבור כניסה לשולחן העבודה. הפעלת אימות דו-שלבי עבור התחברות SSH היא תהליך שונה, אותו אדריך אתכם בהדרכה נפרדת.

מזל טוב, שולחן העבודה של Linux שלך עכשיו קצת יותר מאובטח.