Ha habido una pregunta similar , pero eso no es exactamente lo que quiero.
Me gustaría saber si hay un complemento o complemento para lightdm o gdm que me permita autenticar usando mi contraseña Y el autenticador de google. Estoy hablando de ingresar su código GA en el inicio de sesión en el escritorio, tanto en la GUI como en la línea de comandos, inicio de sesión de shell, para obtener acceso a su escritorio local.
Eche un vistazo a esta publicación del blog titulada: Autenticación de dos pasos de Google en su escritorio ¿Qué es?
sudo apt-get install libpam-google-authenticator
google-authenticator
De acuerdo con la publicación del blog, hay una versión de lightdm-kde que incluye la autenticación de 2 factores que puede aprovechar Google Authenticator cuando agrega el módulo PAM incluido en su entorno.
auth required pam_google_authenticator.so
Resultando en sus inicios de sesión GUI que se ven así:
Instalación
Instale el módulo PAM de Google Authenticator de esta manera:
Ahora ejecute
google-authenticator(dentro de una terminal) para cada usuario con el que quiera usar Google Authenticator y siga las instrucciones. Obtendrá un código QR para escanear con su teléfono inteligente (o un enlace) y códigos de emergencia.Configuración
Para activar Google Authenticator, busque dentro del directorio /etc/pam.d/ . Hay un archivo para cada forma de autenticación con su computadora. Debe editar los archivos de configuración para cada servicio que quiera usar con Google Authenticator. Si quiere usarlo con SSH, edite sshd , si quiere usarlo en LightDM, edite lightdm . En esos archivos, agregue una de las siguientes líneas:
Use la primera línea, mientras todavía está migrando a sus usuarios a Google Authenticator. Los usuarios que no lo tienen configurado aún pueden iniciar sesión. La segunda línea forzará el uso de Google Authenticator. Los usuarios que no lo tienen ya no pueden iniciar sesión. Para sshd es crucial que coloque la línea en la parte superior del archivo para evitar ataques de fuerza bruta en su contraseña.
Para agregarlo a LightDM, puede ejecutar esto:
Ahora, cuando inicie sesión, se le pedirá por separado su contraseña y el código de autenticación de 2 pasos.
Directorios de inicio cifrados
Si utiliza el cifrado doméstico (ecryptfs), el archivo $ HOME / .google_authenticator no será legible para el módulo PAM (porque todavía está cifrado). En este caso, debe moverlo a otro lugar y decirle a PAM dónde encontrarlo. Una posible línea podría verse así:
Debe crear un directorio para cada usuario en /home/.ga que tenga el nombre de usuario y cambiar la propiedad de ese directorio al usuario. Luego, el usuario puede ejecutar
google-authenticatory mover el archivo .google-authenticator creado a ese directorio. El usuario podría ejecutar las siguientes líneas:Esto permitirá que el módulo acceda al archivo.
Para otras opciones, consulte el archivo README .
fuente
El uso de la autenticación de dos factores en ssh configurado como se describió anteriormente anteriormente todavía deja su sistema abierto a posibles ataques de fuerza bruta en su contraseña. Eso podría comprometer ya el primer factor: su contraseña. Así que personalmente decidí agregar la siguiente línea, no en la parte inferior sino en la parte superior del
/etc/pam.d/sshdarchivo, ya que anteriormente no se notaba claramente:Eso da como resultado primero un mensaje para su código de verificación, luego para su contraseña (independientemente de si ingresó el código de verificación correcto). Con esta configuración, si ingresó el código de verificación o la contraseña incorrectamente, debe ingresarlos nuevamente. Estoy de acuerdo en que es un poco más una molestia, pero oye: ¿querías seguridad o solo una sensación de seguridad?
fuente