Google Authenticator for Desktop (plug-in lightdm ou gdm)

Installation

Installez le module PAM de Google Authenticator comme suit:

Sudo apt-get install libpam-google-authenticator

Exécutez maintenant google-authenticator (à l'intérieur d'un terminal) pour chaque utilisateur avec lequel vous souhaitez utiliser Google Authenticator et suivez les instructions. Vous obtiendrez un code QR pour numériser avec votre smartphone (ou un lien) et des codes d'urgence.

Configuration

Pour activer Google Authenticator, consultez le répertoire /etc/pam.d/. Il existe un fichier pour chaque moyen de s’authentifier auprès de votre ordinateur. Vous devez modifier les fichiers de configuration de chaque service que vous souhaitez utiliser avec Google Authenticator. Si vous souhaitez l’utiliser avec SSH, éditez sshd , si vous souhaitez l’utiliser dans LightDM, éditez lightdm . Dans ces fichiers, ajoutez une des lignes suivantes:

auth required pam_google_authenticator.so nullok
auth required pam_google_authenticator.so

Utilisez la première ligne pendant la migration de vos utilisateurs vers Google Authenticator. Les utilisateurs qui ne l'ont pas configuré peuvent quand même se connecter. La deuxième ligne force l'utilisation de Google Authenticator. Les utilisateurs qui ne l'ont pas, ne peuvent plus se connecter. Pour sshd, il est très important de placer la ligne en haut du fichier pour éviter les attaques brutales par mot de passe.

Pour l'ajouter à LightDM, vous pouvez lancer ceci:

echo "auth required pam_google_authenticator.so nullok" | Sudo tee -a /etc/pam.d/lightdm

Désormais, lorsque vous vous connecterez, vous recevrez séparément votre mot de passe et le code d’authentification en deux étapes.

Répertoires personnels cryptés

Si vous utilisez home-encryption (ecryptfs), le fichier $ HOME/.google_authenticator ne sera pas lisible par le module PAM (car il est toujours crypté). Dans ce cas, vous devez le déplacer ailleurs et indiquer à PAM où le trouver. Une ligne possible pourrait ressembler à ceci:

auth required pam_google_authenticator.so secret=/home/.ga/${USER}/.google_authenticator

Vous devez créer un répertoire pour chaque utilisateur dans /home/.ga qui porte le nom de l'utilisateur et modifier le propriétaire de ce répertoire en utilisateur. Ensuite, l'utilisateur peut exécuter google-authenticator et déplacer le fichier .google-authentator créé vers ce répertoire. L'utilisateur peut exécuter les lignes suivantes:

Sudo install -g $(id -rgn) -o $USER -m 700 -d /home/.ga/$USER
google-authenticator
mv $HOME/.google_authenticator /home/.ga/$USER

Cela permettra au module d'accéder au fichier.

Pour d'autres options, consultez le README .

L'utilisation de l'authentification à deux facteurs sur ssh configurée de la manière décrite ci-dessus laisse votre système toujours ouvert à d'éventuelles attaques par force brutale sur votre mot de passe. Cela pourrait déjà compromettre le premier facteur: votre mot de passe. Personnellement, j’ai donc décidé d’ajouter la ligne suivante, non pas au bas de la page mais au top du fichier /etc/pam.d/sshd, comme auparavant n’était pas clairement indiqué:

auth required pam_google_authenticator.so

Cela se traduit d'abord par une invite pour votre code de vérification, puis pour votre mot de passe (que vous ayez entré le code de vérification correctement). Avec cette configuration, si vous avez entré le code de vérification ou le mot de passe de manière incorrecte, vous devez les saisir à nouveau. Je conviens que c'est un peu plus gênant, mais bon: tu voulais la sécurité ou juste un sentiment de sécurité?