Il y a eu une question similaire , mais ce n'est pas exactement ce que je veux.
Je voudrais savoir s'il existe un plugin ou un module complémentaire pour lightdm ou gdm qui me permet de m'authentifier à l'aide de mon mot de passe ET de l'authentificateur google. Je parle d'entrer votre code GA dans la connexion au bureau - à la fois l'interface graphique ou la ligne de commande, la connexion au shell - afin d'accéder à votre bureau local.
Réponses:
Jetez un œil à cet article de blog intitulé: Authentification en deux étapes de Google sur votre bureau Qu'est-ce que c'est?
sudo apt-get install libpam-google-authenticator
google-authenticator
Selon l'article de blog, il existe une version de lightdm-kde qui comprend l'authentification à 2 facteurs qui peut tirer parti de Google Authenticator lorsque vous ajoutez le module PAM inclus dans votre environnement.
auth required pam_google_authenticator.so
Résultat: vos connexions GUI ressemblent à ceci:
Installez le module PAM de Google Authenticator comme ceci:
sudo apt-get install libpam-google-authenticator
Exécutez maintenant google-authenticator(à l'intérieur d'un terminal) pour chaque utilisateur avec lequel vous souhaitez utiliser Google Authenticator et suivez les instructions. Vous obtiendrez un QR-Code à scanner avec votre smartphone (ou un lien) et des codes d'urgence.
Pour activer Google Authenticator, regardez dans le répertoire /etc/pam.d/ . Il existe un fichier pour chaque moyen d'authentification avec votre ordinateur. Vous devez modifier les fichiers de configuration pour chaque service que vous souhaitez utiliser avec Google Authenticator. Si vous voulez l'utiliser avec SSH, éditez sshd , si vous voulez l'utiliser dans LightDM, éditez lightdm . Dans ces fichiers, ajoutez l' une des lignes suivantes:
auth required pam_google_authenticator.so nullok
auth required pam_google_authenticator.so
Utilisez la première ligne pendant que vous migrez toujours vos utilisateurs vers Google Authenticator. Les utilisateurs qui ne l'ont pas configuré peuvent toujours se connecter. La deuxième ligne forcera l'utilisation de Google Authenticator. Les utilisateurs qui ne l'ont pas ne peuvent plus se connecter. Pour sshd, il est très important de placer la ligne en haut du fichier pour empêcher les attaques par force brute sur votre mot de passe.
Pour l'ajouter à LightDM, vous pouvez exécuter ceci:
echo "auth required pam_google_authenticator.so nullok" | sudo tee -a /etc/pam.d/lightdm
Désormais, lorsque vous vous connecterez, vous serez invité séparément à saisir votre mot de passe et le code d'authentification en 2 étapes.
Si vous utilisez le cryptage domestique (ecryptfs), le fichier $ HOME / .google_authenticator ne sera pas lisible pour le module PAM (car il est toujours crypté). Dans ce cas, vous devez le déplacer ailleurs et indiquer à PAM où le trouver. Une ligne possible pourrait ressembler à ceci:
auth required pam_google_authenticator.so secret=/home/.ga/${USER}/.google_authenticator
Vous devez créer un répertoire pour chaque utilisateur dans /home/.ga qui a le nom des utilisateurs et changer la propriété de ce répertoire pour l'utilisateur. L'utilisateur peut ensuite exécuter google-authenticatoret déplacer le fichier .google-authentifier créé vers ce répertoire. L'utilisateur peut exécuter les lignes suivantes:
sudo install -g $(id -rgn) -o $USER -m 700 -d /home/.ga/$USER
google-authenticator
mv $HOME/.google_authenticator /home/.ga/$USER
Cela permettra au module d'accéder au fichier.
Pour d'autres options, consultez le fichier README .
L'utilisation de l'authentification à deux facteurs sur ssh configuré comme décrit ci-dessus précédemment laisse toujours votre système ouvert à d'éventuelles attaques par force brute sur votre mot de passe. Cela pourrait déjà compromettre le premier facteur: votre mot de passe. Donc, personnellement, j'ai décidé d'ajouter la ligne suivante non pas en bas mais en haut du /etc/pam.d/sshdfichier comme précédemment, cela n'a pas été clairement noté:
auth required pam_google_authenticator.so
Cela se traduit d'abord par une invite pour votre code de vérification, puis pour votre mot de passe (peu importe si vous avez entré le code de vérification correct). Avec cette configuration, si vous avez entré le code de vérification ou le mot de passe de manière incorrecte, vous devez les saisir à nouveau tous les deux. Je suis d'accord, c'est un peu plus gênant, mais bon: vous vouliez de la sécurité ou juste un sentiment de sécurité?