Linux je poznat po svojoj sigurnosnoj politici koja zahteva lozinku za bilo kakvu interakciju sa sistemskim jezgrom. Zbog toga mnogi korisnici smatraju Linux sigurnijim operativnim sistemom u poređenju sa drugima, iako nije nepogrešiv. Snažna lozinka i dobra sudoers politika su važni, ali nisu dovoljna zaštita. Zato mnogi stručnjaci za sigurnost koriste dvofaktorsku autentifikaciju (2FA) na Linux sistemima.
U ovom tekstu objasnićemo kako da aktivirate dvofaktorsku autentifikaciju na Linuxu koristeći Google Authenticator.
Instalacija Google Authenticatora
Korišćenje Google Authenticatora je omogućeno zahvaljujući PAM modulu. Ovaj modul se koristi sa GDM-om i drugim desktop menadžerima koji ga podržavaju. Evo kako da ga instalirate na vašem Linux računaru.
Napomena: Pre nego što podesite ovaj dodatak, preuzmite Google Authenticator aplikaciju sa Google Play prodavnice ili Apple App Store, jer je ona ključna za ovaj vodič.
Ubuntu
sudo apt install libpam-google-authenticator
Debian
sudo apt-get install libpam-google-authenticator
Arch Linux
Arch Linux ne podržava PAM Google modul za autentifikaciju automatski. Korisnici treba da preuzmu i kompajliraju modul koristeći AUR paket. Preuzmite najnoviju verziju PKGBUILD-a ili upotrebite svog omiljenog AUR pomoćnika.
Fedora
sudo dnf install google-authenticator
openSUSE
sudo zypper install google-authenticator-libpam
Ostale Linux distribucije
Izvorni kod za Linux verziju Google Authenticator-a, kao i libpam dodatak, dostupan je na GitHubu. Ako koristite neku drugu Linux distribuciju, posetite ovu stranicu i sledite uputstva za kompajliranje iz izvora.
Konfigurisanje Google Authenticatora na Linuxu
Pre nego što PAM počne da radi sa dodatkom za Google autentifikaciju, neophodno je izmeniti konfiguracioni fajl. Otvorite terminal i unesite sledeću komandu:
sudo nano /etc/pam.d/common-auth
U fajlu `common-auth` se nalazi dosta komentara o tome kako sistem treba da koristi postavke autentifikacije između različitih servisa. Ignorišite sve te komentare i skrolujte do odeljka „# ovde su moduli po paketu (‘Primarni’ blok)“. Postavite kursor ispod njega i pritisnite Enter da biste napravili novi red. Zatim unesite sledeće:
auth required pam_google_authenticator.so
Nakon toga pritisnite CTRL+O da sačuvate promene, a zatim CTRL+X da izađete iz Nano editora.
Vratite se na terminal i ukucajte `google-authenticator`. Program će od vas tražiti da odgovorite na nekoliko pitanja.
Prvo pitanje je „Da li želite da tokeni za autentifikaciju budu zasnovani na vremenu?“. Odgovorite sa „da“ pritiskom na „y“.
Nakon odgovora na ovo pitanje, program će ispisati novi tajni ključ i nekoliko kodova za hitne slučajeve. Zapišite ove kodove, oni su važni.
Na sledeća tri pitanja odgovorite sa „da“, a zatim sa „ne“ i „ne“.
Poslednje pitanje se odnosi na ograničenje brzine. Ako je ovo podešavanje omogućeno, Google Authenticator će dozvoliti samo tri neuspešna pokušaja prijavljivanja u roku od 30 sekundi. Iz bezbednosnih razloga preporučuje se da odgovorite sa „da“, ali možete odgovoriti i sa „ne“ ako vam ograničenje brzine nije važno.
Podešavanje Google Authenticator aplikacije
Linux strana je podešena. Sada je vreme da podesite Google Authenticator aplikaciju na vašem mobilnom uređaju. Otvorite aplikaciju i izaberite opciju „Unesite dati ključ“. Otvoriće se polje za unos detalja naloga.
U ovom polju treba da unesete dve stvari: ime računara na kojem koristite autentifikator, kao i tajni ključ koji ste ranije zapisali. Popunite oba polja i Google Authenticator će biti spreman za rad.
Prijava
Uspešno ste postavili Google Authenticator na Linux i vašem mobilnom uređaju. Kada se prijavljujete, izaberite korisnika u GDM-u (ili LightDM-u itd.). Nakon odabira korisnika, operativni sistem će tražiti kod za autentifikaciju. Otvorite Google Authenticator na svom mobilnom uređaju i unesite kod koji se pojavljuje u polje za prijavu.
Ako je kod ispravan, moći ćete da unesete svoju korisničku lozinku.
Važno je napomenuti da podešavanje Google Authenticatora na Linuxu ne utiče samo na prijavljivanje. Svaki put kada korisnik pokuša da stekne root pristup, koristi sudo privilegije ili uradi bilo šta što zahteva lozinku, biće potreban kod za autentifikaciju.
Zaključak
Dvofaktorska autentifikacija za Linux desktop sisteme dodaje dodatni sloj sigurnosti. Kada je omogućena, mnogo je teže neovlašćenim osobama da dobiju pristup vašem sistemu.
Dvofaktorska autentifikacija ponekad može biti frustrirajuća (na primer, ako ste spori sa unosom koda), ali sve u svemu, to je dobrodošao dodatak za sve korisnike Linuxa.