如何使用双因素身份验证保护linux-ubuntu

想要在Linux登录上增加一层安全性吗？多亏了googleauthenticator，可以为Ubuntu PC（和其他Linux操作系统）添加双因素身份验证。...

恶意黑客和信息安全专业人员之间的战争持续不断。根据美国劳工统计局（Bureau of Labor Statistics）的一项研究，信息安全领域的就业岗位预计增长率远远高于所有其他行业。作为无辜的旁观者，我们可以采取一些措施来阻止坏人。

dual-authentication-ubuntu-featured

my weak password laptop 123456

双因素认证（2FA）已经存在了一段时间。它要求使用两种身份验证方法来验证用户的身份。这通常包括常规用户名和密码，以及通过短信发送到移动设备的验证码。这意味着，即使你的密码被泄露（如何使你的密码更强大），恶作剧的黑客将需要访问你的移动设备，以获得完全访问你的帐户。

有报道称，一些下流的人假扮成移动运营商，声称“放错了”他们的SIM卡，以便获得受害者的**号码。这仍然证明有改进的空间，但是2FA也超出了文本消息验证的范围。本指南将有助于在Ubuntu服务器和桌面风格上设置增强的安全性，并与googleauthenticator一起实现双因素身份验证。

考虑事项和先决条件

设置此设置意味着系统的所有用户在以下情况下都需要来自Google Authenticator的验证代码：

登录系统
运行sudo命令

虽然这里的取舍是时间，但增加的安全层可能是至关重要的。尤其是在存放敏感数据的机器上。本指南将利用：

Ubuntu 16.04（桌面或服务器）
Google Authenticator应用程序（来自Google Play Store或Apple App Store）

安装google验证器

正如我们已经讨论过的，我们将使用googleauthenticator作为第二道防线来防止不必要的访问。让我们先把方程的移动部分做完。安装步骤与安装任何其他应用程序完全相同。下面的安装步骤是针对googleplay商店的，但在Apple应用商店中应该没有区别。

打开Android设备上的Google Play Store，然后搜索Google authenticator。找到并点击正确的条目，注意它是由Google Inc.发布的。然后单击Install，并在提示时接受，然后等待安装完成。

android install launch gauth

接下来，在桌面或服务器上启动终端会话。

运行以下命令：

sudo apt-get install libpam-google-authenticator

出现提示时，输入密码并按enter键。如果出现提示，请键入Y并再次按Enter，然后坐下来让安装完成

配置

现在您需要编辑一个文件，以便向您宝贵的Linux框添加两步身份验证。运行以下命令：

sudo nano /etc/pam.d/common-auth

在不远处找一行，上面写着：

auth [success=1 default=ignore] pam_unix.so nullok_secure

在该行正上方，添加以下内容：

auth required pam_google_authenticator.so

您的文件应如下所示：

ubuntu nano gauth

按Ctrl+X，然后按Y保存并关闭文件。

设置每个用户

下一步将最终将您的帐户链接到Google验证器。对于登录到系统的所有用户，需要运行此步骤。我们的示例只有一个用户makeuseof。但是，对于系统上的任何其他用户，步骤都是相同的。

在终端中运行以下命令：

google-authenticator

仔细看一下我们发现：

ubuntu gauth setup

二维码
验证码
新密钥
5紧急划痕代码

QR码和密钥的功能基本相同。我们马上就回来。验证码是一次性使用的代码，如果需要，您可以立即使用。scratch代码是一次性使用的代码，可以在您手边没有移动设备的情况下使用。你可以把它们打印出来，储存在热核锁和钥匙下，或者干脆忽略它们。最终这将取决于你有多容易忘记或丢失你的移动设备。

你还会被问到一系列问题。默认值已经足够了，您可以对所有值都回答Y。但是，您可以根据需要随意更改这些。暂时不要关闭窗口或终端会话。

ubuntu gauth setup

设置移动应用程序

在继续访问其他用户之前，让我们先完成您当前登录的用户。

如果这是第一次在移动设备上启动googleauthenticator，请单击Begin。或者，从主窗口单击下角的加号图标。如果终端窗口上的分辨率足够好，可以看到二维码，请选择“扫描条形码”，如果移动设备摄像头类似于土豆，请输入提供的密钥。如果您选择输入一个密钥，您现在需要输入一个帐户名，以帮助您记住这与哪个帐户有关。然后输入终端窗口中提供的验证密钥。现在按“添加”。

扫描条形码将同时执行这三个步骤。瞧！您的移动设备和系统现在有了一个附加的保护层。恶意个人访问您系统的唯一可能方式是破解您的密码并访问您配置的移动设备。

android account all set gauth

最后步骤和测试

您可能有多人使用此特定系统。在我们的示例中，slaghoople是一个附加用户。在终端会话中运行以下命令：

sudo su slaghoople

打开移动设备上的Google Authenticator应用程序。键入应用程序在终端窗口中提供的六位身份验证码。输入sudo密码并按回车键。你现在应该登录了。作为新用户，发出以下命令：

google-authenticator

现在，您只需执行与我们对上述第一个用户所做的完全相同的步骤。回答完问题后，打开你的Google Authenticator移动应用程序。添加其他帐户。输入slaghoople作为帐户名，以帮助您在移动设备上区分两者。选择扫描条形码或键入验证密钥。Slaghoople现在将需要来自移动应用程序的代码以及她的sudo密码来登录和发布提升的命令。对其他用户进行冲洗和重复。一旦你的所有用户都设置好了，你会注意到试图登录或运行sudo命令需要一个验证码。

ubuntu gauth login verification