Zabezpieczenie logowania do linux lokalnie i do konta root (sudo) za pomocą MFA.
Krok 1. Przygotowanie systemu linux i autentykacji.
Zrób update i upgrade systemu.
apt -y update
apt -y upgradeZainstaluj pakiet google authenticator.
apt -y install libpam-google-authenticatorZaloguj się na użytkownika, którym będziesz się logować i wygeneruj sekret. Dla najmocniejszego zabezpieczenia użyj następujących odpowiedzi na pytania:
google-authenticator
1. y (one time)
2. y (register)
3. y (man-in-the-middle)
4. n (time skew up to 4 minutes)
5. y (rate limiting)2. Konfiguracja PAM.
Przejdź do /etc/pam.d/common-auth:
vim /etc/pam.d/common-authZrób wpis w pliku nad credentialem auth [success=1 default=ignore] pam_unix.so nullok
auth required pam_google_authenticator.soFragment pliku ma wyglądać w ten sposób:
auth required pam_google_authenticator.so
auth [success=1 default=ignore] pam_unix.so nullok3. Logowanie z MFA.
Gdy będziesz chciał się zalogować lokalnie a potem do konta root najpierw zostaniesz poproszony/a o kod z apki a potem hasło.
4. Dodatkowe informacje.
Znów – bardzo ważne jest wygenerowanie sekretu przy użyciu konta z którego będziemy korzystać do logowania.
Działanie MFA jest też uzależnione od środowiska graficznego z jakiego będziecie korzystać. MFA do logowania na linux desktop będzie działać na:
1. GNOME
2. XFCE
3. MATE
Działać będzie MFA także bez środowiska graficznego.
MFA nie działa na:
1. KDE
2. LXQt
Zobacz pierwszą część artykułu -> Kliknij.