मैं 2 कारक प्रमाणीकरण का उपयोग करके अपने सिस्टम को और अधिक सुरक्षित कैसे कर सकता हूं?


16

शीर्षक बहुत ज्यादा यह कहते हैं। मैं 2 फ़ैक्टर ऑथेंटिकेशन, वन-टाइम पासवर्ड, हार्ड-टोकन और अन्य बेहतर सुरक्षा सुविधाओं के बारे में सुन रहा हूं। केवल एक पासवर्ड का उपयोग करने की घटती सुरक्षा के साथ, मैं जानना चाहता हूं कि मैं उबंटू पर अपनी सुरक्षा कैसे सुधार सकता हूं। मैं एकता के साथ 14.04 एलटीएस का उपयोग कर रहा हूं।

जवाबों:


30

आप Google द्वारा बनाए गए ओपन-सोर्स प्लगएबल ऑथेंटिकेशन मॉड्यूल (PAM) का उपयोग कर सकते हैं, जिसे Google ऑथेंटिकेटर के रूप में जाना जाता है । यह मॉड्यूल मानक रिपॉजिटरी में उपलब्ध है, साथ ही गिटहब से भी ताकि आप स्रोत से निर्माण कर सकें। एंड्रॉइड, आईओएस या इसी नाम के ब्लैकबेरी ऐप के साथ युग्मित, यह आपके पासवर्ड के साथ प्रमाणीकरण के लिए समय-आधारित, समय-संवेदनशील कोड बनाता है। चूंकि यह एक PAM मॉड्यूल है, इसलिए इसे कहीं भी बहुत अधिक मात्रा में गिराया जा सकता है । आएँ शुरू करें!

स्थापित कर रहा है

शुरू करने के लिए, आप निम्नलिखित के साथ PAM स्थापित कर सकते हैं:

sudo apt-get install libpam-google-authenticator

सरल!

इसे स्थापित करना:

इसके स्थापित होने के बाद, आप Android, iOS, या ब्लैकबेरी (अपने मोबाइल प्लेटफॉर्म के आधार पर) के लिए संबंधित मोबाइल एप्लिकेशन भी इंस्टॉल करना चाहेंगे। हर एक दूसरे के बिना बेकार है। आपके पास अपने मोबाइल डिवाइस के लिए आवश्यक एप्लिकेशन होने के बाद, निम्नलिखित को टर्मिनल में चलाएं:

google-authenticator

यह आपको कुछ सवाल पूछने से शुरू होगा पहला एक ही एकमात्र है जिसे आपको "हां" का जवाब देना होगा, और यह पूछता है कि क्या आप चाहते हैं कि कोड समय-आधारित हों। उसके बाद, प्रत्येक प्रश्न को पढ़ें और चुनाव करें जो आपके लिए सबसे अधिक समझ में आता है।

प्रारंभिक सेट-अप पूरा करने पर, आपको अपने टर्मिनल में एक बहुत बड़ा QR कोड दिखाई देगा , साथ ही साथ कुछ अन्य जानकारी भी। यदि आप "आपका नया गुप्त कुंजी है" कहते हैं, तो यह एक बहुत ही आवश्यक पंक्ति है यदि आप अपने डिवाइस को जोड़ने के लिए क्यूआर कोड का उपयोग नहीं करना चाहते हैं, तो इस विंडो को तब तक बंद न करें जब तक कि आप सेट-अप न हो जाएं! "स्क्रैच कोड" यह आपको महत्वपूर्ण भी देता है, क्योंकि वे वही हैं जो आप अपने मोबाइल डिवाइस को खोने पर लॉग-इन करने के लिए उपयोग करेंगे। उन्हें लिख लें और उन्हें कहीं सुरक्षित रख दें।

अब, अपने मोबाइल डिवाइस पर, अपना Google प्रमाणक एप्लिकेशन खोलें और "खाता सेट करें" चुनें। आप या तो उत्पन्न क्यूआर कोड को स्कैन कर सकते हैं, या "उपयोग की गई कुंजी" का चयन कर सकते हैं। यदि आप QR कोड को स्कैन करते हैं, तो "your_user @ your_host" नामक खाते के तहत सब कुछ अपने आप सहेज लिया जाएगा। हालांकि, यदि आप "उपयोग की गई कुंजी" का चयन करते हैं, तो आपको मैन्युअल रूप से एक नाम, कुंजी, और टोकन का प्रकार दर्ज करना होगा। नाम कुछ भी आप चाहते हैं हो सकता है। कुंजी पहले बनाई गई गुप्त कुंजी होगी। प्रकार डिफ़ॉल्ट समय-आधारित होगा। इसे स्थापित करने के बाद, आपको Google प्रमाणक ऐप के मुख्य फलक पर खाता दिखाई देगा, साथ ही इसके आगे एक चक्र के आकार का टाइमर भी होगा। वह टाइमर हर 30 सेकंड में समाप्त हो जाता है, और एक नया कोड उत्पन्न होता है।

इसे सक्षम करना!

यहाँ जादू आता है। चूंकि यह एक PAM मॉड्यूल है, इसलिए इसे विभिन्न स्थानों पर उपयोग किया जा सकता है। मैं प्रमाणीकरण sudo, अनुरोधों, SSH लॉग-इन और lightdm लॉग-इन को जोड़कर चलूंगा। हालांकि, इस ट्यूटोरियल को पढ़ने के बाद, आप इसे उसी तकनीकों के आधार पर कहीं और सक्षम कर पाएंगे।

SSH

मैं यह पहली बार कर रहा हूं क्योंकि एक अतिरिक्त कदम है। सबसे पहले आपको अपनी SSH कॉन्फिग फ़ाइल को एडिट करना होगा:

gksudo gedit /etc/ssh/sshd_config

उस पंक्ति के लिए खोजें जो कहती है:

ChallengeResponseAuthentication no

और "नहीं" को "हां" में बदल दें।

अब, आपको ssh के लिए PAM मॉड्यूल को संपादित करने की आवश्यकता है:

gksudo gedit /etc/pam.d/sshd

इस फ़ाइल के अंत में, निम्न पंक्ति जोड़ें:

auth required pam_google_authenticator.so nullok

"Nullok" तर्क बताता है कि यदि उपयोगकर्ता ने दो कारक प्रमाणीकरण स्थापित नहीं किए हैं, तो सत्यापन कोड का अनुरोध नहीं करने के लिए सिस्टम । उसके बाद संपादित करें, आगे बढ़ें और अपनी ssh सेवा पुनः आरंभ करें:

sudo service ssh restart

sudo अनुरोध

इसके लिए PAM फ़ाइल संपादित करें sudo:

gksudo gedit /etc/pam.d/sudo

निम्नलिखित पंक्ति को बहुत अंत में जोड़ें:

auth required pam_google_authenticator.so nullok

अब हर sudoरिक्वेस्ट वेरिफिकेशन कोड के साथ-साथ पासवर्ड भी मांगेगी।

LightDM (GUI लॉग-इन)

LightDM के लिए PAM फ़ाइल संपादित करें:

gksudo gedit /etc/pam.d/lightdm

निम्नलिखित पंक्ति को बहुत अंत में जोड़ें:

auth required pam_google_authenticator.so nullok

बस! हर बार जब आप GUI से लॉग-इन करते हैं, तो यह आपके पासवर्ड के बाद एक सत्यापन कोड मांगेगा।

सिस्टम-वाइड और TTY लॉग-इन

यहां तक कि अगर आप उपरोक्त विधियों सक्षम, यह अभी भी अगर आप के साथ एक TTY पर स्विच एक सत्यापन कोड के लिए नहीं कहेंगे CTRL+ ALT+ F#। इसे ठीक करने के लिए, common-authPAM फ़ाइल संपादित करें :

gksudo gedit /etc/pam.d/common-auth

और निम्नलिखित पंक्ति को बहुत अंत तक जोड़ें:

auth required pam_google_authenticator.so nullok

नोट: चूंकि यह सामान्य-सामान्य फ़ाइल अन्य सभी प्रकार की फ़ाइलों में शामिल है, इसलिए आपको अन्य फ़ाइलों से आवश्यक आवश्यक पंक्तियों को निकालने की आवश्यकता है। अन्यथा, यह दो बार सत्यापन कोड मांगेगा और आपको लॉग-इन करने की अनुमति नहीं देगा।

लपेटें

जैसा कि आप देख सकते हैं, इस प्रमाणीकरण को जोड़ना बहुत आसान था। यदि आप LightDM के अलावा किसी डिस्प्ले मैनेजर का उपयोग करते हैं, तो आप आसानी से तदनुसार lightDM लाइन को बदल सकते हैं। चूंकि आपके मोबाइल उपकरण और आपके सिस्टम ने इस गुप्त कुंजी को पहले से ही साझा किया है, इसलिए उन्हें हमेशा सिंक में होना चाहिए। इस सेट-अप के लिए Google सर्वर, या किसी अन्य इंटरनेट संसाधन के साथ कोई सहभागिता नहीं है। यहां तक ​​कि अगर दोनों डिवाइस पूरी तरह से ऑफ़लाइन थे, तो आपके आवेदन में दिखाने वाले सत्यापन कोड सही होंगे। जब भी आपको अपने द्वारा सक्षम तरीकों में से एक के माध्यम से लॉग-इन करने की आवश्यकता होती है, तो बस अपना मोबाइल एप्लिकेशन खोलना और वर्तमान सत्यापन कोड को हथियाना सुनिश्चित करें।

मज़े करो!!


बाद के नोट्स के लिए टिप्पणी करना। अच्छा लिखा! +1 =)
टेरेन्स

+1 - यह वास्तव में अच्छा और अच्छा लिखा हुआ है।
नाथन उस्मान

1
और फिर आपका फोन यह निर्णय लेता है कि इसमें कोई अधिक शक्ति नहीं है और इसे बंद करना चाहता है। :) +1
रिंज़विंड

खरोंच कोड के लिए यही है, @Rinzwind: D

TTY पर दो-कारक को सक्षम करने के लिए निर्देशों में जोड़ा गया।

1

FreeOTP Google Play पर Google प्रमाणक एंड्रॉइड ऐप (जिसका वर्तमान कोड ओपन सोर्स नहीं है) के लिए एक ओपन-सोर्स विकल्प है। FreeOTP F-Droid (और Google Play ) पर उपलब्ध है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.