शीर्षक बहुत ज्यादा यह कहते हैं। मैं 2 फ़ैक्टर ऑथेंटिकेशन, वन-टाइम पासवर्ड, हार्ड-टोकन और अन्य बेहतर सुरक्षा सुविधाओं के बारे में सुन रहा हूं। केवल एक पासवर्ड का उपयोग करने की घटती सुरक्षा के साथ, मैं जानना चाहता हूं कि मैं उबंटू पर अपनी सुरक्षा कैसे सुधार सकता हूं। मैं एकता के साथ 14.04 एलटीएस का उपयोग कर रहा हूं।
जवाबों:
आप Google द्वारा बनाए गए ओपन-सोर्स प्लगएबल ऑथेंटिकेशन मॉड्यूल (PAM) का उपयोग कर सकते हैं, जिसे Google ऑथेंटिकेटर के रूप में जाना जाता है । यह मॉड्यूल मानक रिपॉजिटरी में उपलब्ध है, साथ ही गिटहब से भी ताकि आप स्रोत से निर्माण कर सकें। एंड्रॉइड, आईओएस या इसी नाम के ब्लैकबेरी ऐप के साथ युग्मित, यह आपके पासवर्ड के साथ प्रमाणीकरण के लिए समय-आधारित, समय-संवेदनशील कोड बनाता है। चूंकि यह एक PAM मॉड्यूल है, इसलिए इसे कहीं भी बहुत अधिक मात्रा में गिराया जा सकता है । आएँ शुरू करें!
शुरू करने के लिए, आप निम्नलिखित के साथ PAM स्थापित कर सकते हैं:
sudo apt-get install libpam-google-authenticator
सरल!
इसके स्थापित होने के बाद, आप Android, iOS, या ब्लैकबेरी (अपने मोबाइल प्लेटफॉर्म के आधार पर) के लिए संबंधित मोबाइल एप्लिकेशन भी इंस्टॉल करना चाहेंगे। हर एक दूसरे के बिना बेकार है। आपके पास अपने मोबाइल डिवाइस के लिए आवश्यक एप्लिकेशन होने के बाद, निम्नलिखित को टर्मिनल में चलाएं:
google-authenticator
यह आपको कुछ सवाल पूछने से शुरू होगा पहला एक ही एकमात्र है जिसे आपको "हां" का जवाब देना होगा, और यह पूछता है कि क्या आप चाहते हैं कि कोड समय-आधारित हों। उसके बाद, प्रत्येक प्रश्न को पढ़ें और चुनाव करें जो आपके लिए सबसे अधिक समझ में आता है।
प्रारंभिक सेट-अप पूरा करने पर, आपको अपने टर्मिनल में एक बहुत बड़ा QR कोड दिखाई देगा , साथ ही साथ कुछ अन्य जानकारी भी। यदि आप "आपका नया गुप्त कुंजी है" कहते हैं, तो यह एक बहुत ही आवश्यक पंक्ति है यदि आप अपने डिवाइस को जोड़ने के लिए क्यूआर कोड का उपयोग नहीं करना चाहते हैं, तो इस विंडो को तब तक बंद न करें जब तक कि आप सेट-अप न हो जाएं! "स्क्रैच कोड" यह आपको महत्वपूर्ण भी देता है, क्योंकि वे वही हैं जो आप अपने मोबाइल डिवाइस को खोने पर लॉग-इन करने के लिए उपयोग करेंगे। उन्हें लिख लें और उन्हें कहीं सुरक्षित रख दें।
अब, अपने मोबाइल डिवाइस पर, अपना Google प्रमाणक एप्लिकेशन खोलें और "खाता सेट करें" चुनें। आप या तो उत्पन्न क्यूआर कोड को स्कैन कर सकते हैं, या "उपयोग की गई कुंजी" का चयन कर सकते हैं। यदि आप QR कोड को स्कैन करते हैं, तो "your_user @ your_host" नामक खाते के तहत सब कुछ अपने आप सहेज लिया जाएगा। हालांकि, यदि आप "उपयोग की गई कुंजी" का चयन करते हैं, तो आपको मैन्युअल रूप से एक नाम, कुंजी, और टोकन का प्रकार दर्ज करना होगा। नाम कुछ भी आप चाहते हैं हो सकता है। कुंजी पहले बनाई गई गुप्त कुंजी होगी। प्रकार डिफ़ॉल्ट समय-आधारित होगा। इसे स्थापित करने के बाद, आपको Google प्रमाणक ऐप के मुख्य फलक पर खाता दिखाई देगा, साथ ही इसके आगे एक चक्र के आकार का टाइमर भी होगा। वह टाइमर हर 30 सेकंड में समाप्त हो जाता है, और एक नया कोड उत्पन्न होता है।
यहाँ जादू आता है। चूंकि यह एक PAM मॉड्यूल है, इसलिए इसे विभिन्न स्थानों पर उपयोग किया जा सकता है। मैं प्रमाणीकरण sudo, अनुरोधों, SSH लॉग-इन और lightdm लॉग-इन को जोड़कर चलूंगा। हालांकि, इस ट्यूटोरियल को पढ़ने के बाद, आप इसे उसी तकनीकों के आधार पर कहीं और सक्षम कर पाएंगे।
मैं यह पहली बार कर रहा हूं क्योंकि एक अतिरिक्त कदम है। सबसे पहले आपको अपनी SSH कॉन्फिग फ़ाइल को एडिट करना होगा:
gksudo gedit /etc/ssh/sshd_config
उस पंक्ति के लिए खोजें जो कहती है:
ChallengeResponseAuthentication no
और "नहीं" को "हां" में बदल दें।
अब, आपको ssh के लिए PAM मॉड्यूल को संपादित करने की आवश्यकता है:
gksudo gedit /etc/pam.d/sshd
इस फ़ाइल के अंत में, निम्न पंक्ति जोड़ें:
auth required pam_google_authenticator.so nullok
"Nullok" तर्क बताता है कि यदि उपयोगकर्ता ने दो कारक प्रमाणीकरण स्थापित नहीं किए हैं, तो सत्यापन कोड का अनुरोध नहीं करने के लिए सिस्टम । उसके बाद संपादित करें, आगे बढ़ें और अपनी ssh सेवा पुनः आरंभ करें:
sudo service ssh restart
sudo अनुरोधइसके लिए PAM फ़ाइल संपादित करें sudo:
gksudo gedit /etc/pam.d/sudo
निम्नलिखित पंक्ति को बहुत अंत में जोड़ें:
auth required pam_google_authenticator.so nullok
अब हर sudoरिक्वेस्ट वेरिफिकेशन कोड के साथ-साथ पासवर्ड भी मांगेगी।
LightDM के लिए PAM फ़ाइल संपादित करें:
gksudo gedit /etc/pam.d/lightdm
निम्नलिखित पंक्ति को बहुत अंत में जोड़ें:
auth required pam_google_authenticator.so nullok
बस! हर बार जब आप GUI से लॉग-इन करते हैं, तो यह आपके पासवर्ड के बाद एक सत्यापन कोड मांगेगा।
यहां तक कि अगर आप उपरोक्त विधियों सक्षम, यह अभी भी अगर आप के साथ एक TTY पर स्विच एक सत्यापन कोड के लिए नहीं कहेंगे CTRL+ ALT+ F#। इसे ठीक करने के लिए, common-authPAM फ़ाइल संपादित करें :
gksudo gedit /etc/pam.d/common-auth
और निम्नलिखित पंक्ति को बहुत अंत तक जोड़ें:
auth required pam_google_authenticator.so nullok
जैसा कि आप देख सकते हैं, इस प्रमाणीकरण को जोड़ना बहुत आसान था। यदि आप LightDM के अलावा किसी डिस्प्ले मैनेजर का उपयोग करते हैं, तो आप आसानी से तदनुसार lightDM लाइन को बदल सकते हैं। चूंकि आपके मोबाइल उपकरण और आपके सिस्टम ने इस गुप्त कुंजी को पहले से ही साझा किया है, इसलिए उन्हें हमेशा सिंक में होना चाहिए। इस सेट-अप के लिए Google सर्वर, या किसी अन्य इंटरनेट संसाधन के साथ कोई सहभागिता नहीं है। यहां तक कि अगर दोनों डिवाइस पूरी तरह से ऑफ़लाइन थे, तो आपके आवेदन में दिखाने वाले सत्यापन कोड सही होंगे। जब भी आपको अपने द्वारा सक्षम तरीकों में से एक के माध्यम से लॉग-इन करने की आवश्यकता होती है, तो बस अपना मोबाइल एप्लिकेशन खोलना और वर्तमान सत्यापन कोड को हथियाना सुनिश्चित करें।
FreeOTP Google Play पर Google प्रमाणक एंड्रॉइड ऐप (जिसका वर्तमान कोड ओपन सोर्स नहीं है) के लिए एक ओपन-सोर्स विकल्प है। FreeOTP F-Droid (और Google Play ) पर उपलब्ध है।