Ha habido una pregunta similar , pero eso no es exactamente lo que quiero.
Me gustaría saber si hay un complemento o complemento para lightdm o gdm que me permita autenticar usando mi contraseña Y el autenticador de google. Estoy hablando de ingresar su código GA en el inicio de sesión en el escritorio, tanto en la GUI como en la línea de comandos, inicio de sesión de shell, para obtener acceso a su escritorio local.
Instalación
Instale el módulo PAM de Google Authenticator de esta manera:
Ahora ejecute
google-authenticator
(dentro de una terminal) para cada usuario con el que quiera usar Google Authenticator y siga las instrucciones. Obtendrá un código QR para escanear con su teléfono inteligente (o un enlace) y códigos de emergencia.Configuración
Para activar Google Authenticator, busque dentro del directorio /etc/pam.d/ . Hay un archivo para cada forma de autenticación con su computadora. Debe editar los archivos de configuración para cada servicio que quiera usar con Google Authenticator. Si quiere usarlo con SSH, edite sshd , si quiere usarlo en LightDM, edite lightdm . En esos archivos, agregue una de las siguientes líneas:
Use la primera línea, mientras todavía está migrando a sus usuarios a Google Authenticator. Los usuarios que no lo tienen configurado aún pueden iniciar sesión. La segunda línea forzará el uso de Google Authenticator. Los usuarios que no lo tienen ya no pueden iniciar sesión. Para sshd es crucial que coloque la línea en la parte superior del archivo para evitar ataques de fuerza bruta en su contraseña.
Para agregarlo a LightDM, puede ejecutar esto:
Ahora, cuando inicie sesión, se le pedirá por separado su contraseña y el código de autenticación de 2 pasos.
Directorios de inicio cifrados
Si utiliza el cifrado doméstico (ecryptfs), el archivo $ HOME / .google_authenticator no será legible para el módulo PAM (porque todavía está cifrado). En este caso, debe moverlo a otro lugar y decirle a PAM dónde encontrarlo. Una posible línea podría verse así:
Debe crear un directorio para cada usuario en /home/.ga que tenga el nombre de usuario y cambiar la propiedad de ese directorio al usuario. Luego, el usuario puede ejecutar
google-authenticator
y mover el archivo .google-authenticator creado a ese directorio. El usuario podría ejecutar las siguientes líneas:Esto permitirá que el módulo acceda al archivo.
Para otras opciones, consulte el archivo README .
fuente
El uso de la autenticación de dos factores en ssh configurado como se describió anteriormente anteriormente todavía deja su sistema abierto a posibles ataques de fuerza bruta en su contraseña. Eso podría comprometer ya el primer factor: su contraseña. Así que personalmente decidí agregar la siguiente línea, no en la parte inferior sino en la parte superior del
/etc/pam.d/sshd
archivo, ya que anteriormente no se notaba claramente:Eso da como resultado primero un mensaje para su código de verificación, luego para su contraseña (independientemente de si ingresó el código de verificación correcto). Con esta configuración, si ingresó el código de verificación o la contraseña incorrectamente, debe ingresarlos nuevamente. Estoy de acuerdo en que es un poco más una molestia, pero oye: ¿querías seguridad o solo una sensación de seguridad?
fuente