phhsnews.com


phhsnews.com / Comment se connecter à votre bureau Linux avec Google Authenticator

Comment se connecter à votre bureau Linux avec Google Authenticator


Pour plus de sécurité, vous pouvez avoir besoin d'un jeton d'authentification basé sur le temps ainsi que d'un mot de passe pour vous connecter à votre PC Linux. Cette solution utilise Google Authenticator et d'autres applications TOTP.

Ce processus a été exécuté sur Ubuntu 14.04 avec le bureau Unity standard et le gestionnaire de connexion LightDM, mais les principes sont les mêmes sur la plupart des distributions et bureaux Linux.

Nous vous avons déjà montré comment demander Google Authenticator pour un accès à distance via SSH, et ce processus est similaire. Cela ne nécessite pas l'application Google Authenticator, mais fonctionne avec toute application compatible qui implémente le système d'authentification TOTP, y compris Authy.

Installer le Google Authenticator PAM

RELATED: Comment sécuriser SSH avec Google Authenticator's Two -Factor Authentication

Comme lors de la configuration de l'accès SSH, nous devons d'abord installer le logiciel PAM ("pluggable-authentication module") approprié. PAM est un système qui nous permet de brancher différents types de méthodes d'authentification dans un système Linux et de les exiger.

Sur Ubuntu, la commande suivante installera le Google Authenticator PAM. Ouvrez une fenêtre de terminal, tapez la commande suivante, appuyez sur Entrée et indiquez votre mot de passe. Le système téléchargera le PAM à partir des dépôts logiciels de votre distribution Linux et l'installera:

sudo apt-get install libpam-google-authenticator

D'autres distributions Linux devraient avoir ce paquet disponible pour une installation facile aussi - ouvrez votre Linux les dépôts de logiciels de distribution et effectuez une recherche pour cela. Dans le pire des cas, vous pouvez trouver le code source du module PAM sur GitHub et le compiler vous-même.

Comme nous l'avons déjà souligné, cette solution ne dépend pas du "phoning home" des serveurs de Google. Il implémente l'algorithme TOTP standard et peut être utilisé même si votre ordinateur n'a pas accès à Internet

Créez vos clés d'authentification

Vous devez maintenant créer une clé d'authentification secrète et la saisir dans l'application Google Authenticator (ou une application similaire) sur votre téléphone. Tout d'abord, connectez-vous en tant que votre compte utilisateur sur votre système Linux. Ouvrez une fenêtre de terminal et exécutez la commande google-authenticator . Tapez y et suivez les instructions ici. Cela créera un fichier spécial dans le répertoire du compte d'utilisateur actuel avec les informations de Google Authenticator.

Vous serez également confronté au processus d'obtention de ce code de validation à deux facteurs dans Google Authenticator ou une application TOTP similaire sur votre smartphone. Votre système peut générer un code QR que vous pouvez numériser ou vous pouvez le saisir manuellement

N'oubliez pas de noter vos codes d'urgence, que vous pouvez utiliser pour vous connecter si vous perdez votre téléphone.

OK grâce à ce processus pour chaque compte d'utilisateur qui utilise votre ordinateur. Par exemple, si vous êtes la seule personne qui utilise votre ordinateur, vous pouvez le faire une seule fois sur votre compte utilisateur normal. Si quelqu'un d'autre utilise votre ordinateur, vous devez le faire se connecter à son propre compte et générer un code à deux facteurs approprié pour son propre compte afin qu'il puisse se connecter.

Activer l'authentification

Voici où les choses deviennent un peu glaciales. Lorsque nous avons expliqué comment activer deux facteurs pour les connexions SSH, nous l'avons requis uniquement pour les connexions SSH. Cela garantit que vous pouvez toujours vous connecter localement si vous avez perdu votre application d'authentification ou si quelque chose s'est mal passé.

Puisque nous allons activer l'authentification à deux facteurs pour les connexions locales, il y a des problèmes potentiels ici. Si quelque chose ne va pas, vous ne pourrez peut-être pas vous connecter. En gardant cela à l'esprit, nous vous guiderons en l'activant uniquement pour les connexions graphiques.

Activer Google Authenticator pour les connexions graphiques sous Ubuntu

Vous pouvez toujours activer l'authentification en deux étapes pour les connexions graphiques uniquement, en ignorant l'exigence lorsque vous vous connectez à partir de l'invite de texte. Cela signifie que vous pouvez facilement passer à un terminal virtuel, vous y connecter et annuler vos modifications afin que Gogole Authenciator ne soit plus nécessaire si vous rencontrez un problème.

Bien sûr, cela ouvre une brèche dans votre système d'authentification, mais un attaquant avec un accès physique à votre système peut déjà l'exploiter de toute façon. C'est pourquoi l'authentification à deux facteurs est particulièrement efficace pour les connexions distantes via SSH.

Voici comment procéder pour Ubuntu, qui utilise le gestionnaire de connexion LightDM. Ouvrez le fichier LightDM pour l'éditer avec une commande comme celle-ci:

sudo gedit /etc/pam.d/lightdm

(Souvenez-vous, ces étapes spécifiques ne fonctionneront que si votre distribution Linux et votre bureau utilisent le gestionnaire de connexion LightDM.

Ajoutez la ligne suivante à la fin du fichier, puis enregistrez-la:

auth required pam_google_authenticator.so nullok

Le bit "nullok" à la fin indique au système de laisser un utilisateur se connecter même s'ils n'ont pas exécuté la commande google-authenticator pour configurer l'authentification à deux facteurs. S'ils l'ont configuré, ils devront entrer un code temporel - sinon ils ne le feront pas. Supprimez le "nullok" et les comptes d'utilisateurs qui n'ont pas configuré de code Google Authenticator ne pourront pas se connecter graphiquement.

La prochaine fois qu'un utilisateur se connecte graphiquement, il lui sera demandé son mot de passe et puis invité pour le code de vérification en cours affiché sur leur téléphone. S'ils n'entrent pas dans le code de vérification, ils ne seront pas autorisés à se connecter.

Le processus devrait être assez similaire pour les autres distributions et postes de travail Linux, car la plupart des gestionnaires de sessions Linux utilisent PAM. Vous devrez probablement éditer un fichier différent avec quelque chose de similaire pour activer le module PAM approprié

Si vous utilisez le cryptage du répertoire de base

Les anciennes versions d'Ubuntu offraient une option de cryptage facile répertoire personnel jusqu'à ce que vous entrez votre mot de passe. Plus précisément, cela utilise ecryptfs. Toutefois, comme le logiciel PAM dépend d'un fichier Google Authenticator stocké dans votre répertoire personnel par défaut, le chiffrement interfère avec le PAM qui lit le fichier, sauf si vous vous assurez qu'il est disponible sous forme non chiffrée avant de vous connecter. Informations sur la façon d'éviter ce problème si vous utilisez toujours les options de chiffrement du répertoire de base désapprouvées.

Les versions modernes d'Ubuntu offrent plutôt un chiffrement complet du disque, ce qui fonctionne bien avec les options ci-dessus. Vous n'avez rien de spécial à faire

Help, It Broke!

Parce que nous venons de l'activer pour les connexions graphiques, il devrait être facile de le désactiver en cas de problème. Appuyez sur une combinaison de touches comme Ctrl + Alt + F2 pour accéder à un terminal virtuel et connectez-vous avec votre nom d'utilisateur et votre mot de passe. Vous pouvez ensuite utiliser une commande comme sudo nano /etc/pam.d/lightdm pour ouvrir le fichier à éditer dans un éditeur de texte du terminal. Utilisez notre guide pour Nano pour supprimer la ligne et enregistrer le fichier, et vous pourrez vous connecter normalement à nouveau.


Vous pouvez également forcer Google Authenticator à être requis pour d'autres types de connexion, voire même pour toutes les connexions système. en ajoutant la ligne "auth required pam_google_authenticator.so" aux autres fichiers de configuration PAM. Soyez prudent si vous faites cela. Et souvenez-vous, vous pouvez ajouter "nullok" pour que les utilisateurs qui n'ont pas encore effectué le processus d'installation puissent se connecter.

Vous trouverez d'autres documentations sur l'utilisation et la configuration de ce module PAM dans le fichier README du logiciel sur GitHub.


Comment démarrer et suivre vos séances d'entraînement à l'aide de l'Apple Watch

Comment démarrer et suivre vos séances d'entraînement à l'aide de l'Apple Watch

L'Apple Watch fait un tas de choses dont la montre-bracelet moyenne ne peut que rêver, et l'une des plus importantes est la capacité à Démarrer et suivre les entraînements. Utiliser la montre pour suivre votre entraînement est très différent de ce que vous pouvez faire avec le moniteur d'activité, qui est passif et fonctionne indépendamment (sauf si vous le désactivez dans l'application Watch sur votre iPhone) de Sur la montre, les séances d'entraînement sont généralement lancées en invitant Siri.

(how-to)

Activer les composants Windows Tablet PC dans Windows

Activer les composants Windows Tablet PC dans Windows

Si vous possédez un PC Tablette, vous disposez d'un ensemble d'applications et de fonctions d'interface non disponibles pour les utilisateurs habituels de PC. Certaines de ces fonctionnalités comprennent la reconnaissance de l'écriture manuscrite et Windows Journal. Découvrez comment activer les composants Windows Tablet PC dans Windows 7/8/10.Que

(How-to)