Google Authenticator for Desktop (plug-in lightdm ou gdm)

Dê uma olhada nesta postagem do blog intitulada: Autenticação em duas etapas do Google no seu computador O que é isso?

Instalação

sudo apt-get install libpam-google-authenticator

Uso

google-authenticator

De acordo com a postagem do blog, há uma versão do lightdm-kde que inclui a autenticação de fator 2, que pode aproveitar o Google Authenticator quando você adiciona o módulo PAM incluído ao seu ambiente.

auth required pam_google_authenticator.so

Resultando nos logins da GUI com esta aparência:

fonte aqui

Instalação

Instale o módulo PAM do Google Authenticator assim:

sudo apt-get install libpam-google-authenticator

Agora, execute google-authenticator (dentro de um terminal) para cada usuário com o qual você deseja usar o Google Authenticator e siga as instruções. Você receberá um QR-Code para digitalizar com seu smartphone (ou um link) e códigos de emergência.

Configuração

Para ativar o Google Authenticator, procure dentro do diretório /etc/pam.d / . Existe um arquivo para todas as formas de autenticação com o seu computador. Você precisa editar os arquivos de configuração para todos os serviços que deseja usar com o Google Authenticator. Se você quiser usá-lo com SSH, edite sshd , se você quiser usá-lo no LightDM, edite lightdm . Nesses arquivos, adicione um das seguintes linhas:

auth required pam_google_authenticator.so nullok
auth required pam_google_authenticator.so

Use a primeira linha, enquanto você ainda está migrando seus usuários para o Google Authenticator. Os usuários que não tiverem configurado ainda poderão fazer login. A segunda linha forçará o uso do Google Authenticator. Os usuários que não têm, não podem mais fazer login. Para o sshd, é muito importante que você coloque a linha no topo do arquivo para evitar ataques de força bruta na sua senha.

Para adicioná-lo ao LightDM, você pode executar isto:

echo "auth required pam_google_authenticator.so nullok" | sudo tee -a /etc/pam.d/lightdm

Agora, quando você fizer o login, você receberá separadamente sua senha e o código de autenticação em duas etapas.

Diretórios iniciais criptografados

Se você usar a criptografia de casa (ecryptfs), o arquivo $ HOME / .google_authenticator não será legível para o módulo PAM (porque ainda está criptografado). Nesse caso, você precisa movê-lo para outro lugar e informar ao PAM onde encontrá-lo. Uma linha possível poderia ser assim:

auth required pam_google_authenticator.so secret=/home/.ga/${USER}/.google_authenticator

Você precisa criar um diretório para cada usuário em /home/.ga que tenha o nome do usuário e altere a propriedade desse diretório para o usuário. Em seguida, o usuário pode executar google-authenticator e mover o arquivo .google-authenticator criado para esse diretório. O usuário pode executar as seguintes linhas:

sudo install -g $(id -rgn) -o $USER -m 700 -d /home/.ga/$USER
google-authenticator
mv $HOME/.google_authenticator /home/.ga/$USER

Isso permitirá que o módulo acesse o arquivo.

Para outras opções, confira o LEIAME .

Usar a autenticação Two-Factor em ssh configurada como descrito acima aqui anteriormente ainda deixa seu sistema aberto a possíveis ataques de força bruta em sua senha. Isso pode comprometer o primeiro fator: sua senha. Então, pessoalmente, decidi adicionar a seguinte linha não na parte inferior, mas no topo do arquivo /etc/pam.d/sshd , como anteriormente não foi observado claramente:

auth required pam_google_authenticator.so

Isso resulta primeiro em uma solicitação do seu código de verificação e, em seguida, em sua senha (independentemente de você ter digitado o código de verificação correto). Com essa configuração, se você inseriu o código de verificação ou a senha incorretamente, é necessário inseri-los novamente. Eu concordo que é um pouco mais incômodo, mas hey: você queria segurança ou apenas uma sensação de segurança?