Был похожий вопрос , но это не совсем то, что я хочу.
Я хотел бы знать, есть ли плагин или надстройка для lightdm или gdm, которая позволяет мне проходить аутентификацию с использованием моего пароля И Google authenticator. Я говорю о вводе вашего кода GA в настольную учетную запись - и GUI или командную строку, вход в оболочку - чтобы получить доступ к вашему локальному рабочему столу.
Посмотрите на это сообщение в блоге под названием: Двухэтапная аутентификация Google на вашем рабочем столе Что это?
sudo apt-get install libpam-google-authenticator
google-authenticator
Согласно сообщению в блоге, существует версия lightdm-kde с двухфакторной аутентификацией, которая может использовать Google Authenticator при добавлении включенного модуля PAM в вашу среду.
auth required pam_google_authenticator.so
В результате ваши логины GUI выглядят так:
Монтаж
Установите PAM-модуль Google Authenticator следующим образом:
Теперь запустите
google-authenticator(внутри терминала) для каждого пользователя, с которым вы хотите использовать Google Authenticator, и следуйте инструкциям. Вы получите QR-код для сканирования со своего смартфона (или ссылку) и аварийные коды.конфигурация
Чтобы активировать Google Authenticator, загляните в каталог /etc/pam.d/ . Существует файл для каждого способа аутентификации на вашем компьютере. Вам необходимо отредактировать файлы конфигурации для каждого сервиса, который вы хотите использовать с Google Authenticator. Если вы хотите использовать его с SSH, отредактируйте sshd , если вы хотите использовать его в LightDM, отредактируйте lightdm . В этих файлах добавьте одну из следующих строк:
Используйте первую строку, пока вы все еще переносите своих пользователей в Google Authenticator. Пользователи, у которых это не настроено, могут все еще войти в систему. Вторая строка принудительно использует Google Authenticator. Пользователи, у которых его нет, больше не могут войти. Для sshd очень важно, чтобы вы поместили строку в верхнюю часть файла, чтобы предотвратить атаку паролем.
Чтобы добавить его в LightDM, вы можете запустить это:
Теперь, когда вы входите в систему, вас отдельно спросят ваш пароль и код двухэтапной аутентификации.
Зашифрованные домашние каталоги
Если вы используете home-encryption (ecryptfs), файл $ HOME / .google_authenticator не будет читаем для PAM-модуля (поскольку он все еще зашифрован). В этом случае вам нужно переместить его в другое место и сообщить PAM, где его найти. Возможная строка может выглядеть так:
Вам нужно создать каталог для каждого пользователя в /home/.ga, который имеет имя пользователя, и изменить владельца этого каталога на пользователя. Затем пользователь может запустить
google-authenticatorи переместить созданный файл .google-authenticator в этот каталог. Пользователь может запустить следующие строки:Это позволит модулю получить доступ к файлу.
Для других вариантов, проверьте README .
источник
Использование двухфакторной аутентификации в ssh, настроенном, как описано выше, ранее все еще оставляет вашу систему открытой для возможных атак методом подбора паролей. Это может поставить под угрозу уже первый фактор: ваш пароль. Так что лично я решил добавить следующую строку не на дне , а в верхней части
/etc/pam.d/sshdфайла , как ранее не было отмечено Клири:В результате сначала запрашивается код подтверждения, а затем пароль (независимо от того, правильно ли вы ввели код подтверждения). В этой конфигурации, если вы ввели неверный код или пароль, вам придется вводить их снова. Я согласен, что это немного больше неприятностей, но эй: вы хотели безопасность или просто чувство безопасности?
источник