Houve uma pergunta semelhante , mas não é exatamente isso que eu quero.
Gostaria de saber se existe um plugin ou complemento para o lightdm ou o gdm que me permita autenticar usando minha senha E o autenticador do google. Estou falando de inserir seu código GA no logon da área de trabalho - GUI ou linha de comando, logon shell - para obter acesso à área de trabalho local.
Respostas:
Dê uma olhada nesta postagem do blog intitulada: Autenticação em duas etapas do Google na área de trabalho O que é?
sudo apt-get install libpam-google-authenticator
google-authenticator
De acordo com o post do blog, há uma versão do lightdm-kde com a autenticação de dois fatores incluída, que pode tirar proveito do Google Authenticator quando você adiciona o módulo PAM incluído ao seu ambiente.
auth required pam_google_authenticator.so
Resultando em seus logins da GUI parecidos com este:
Instale o módulo PAM do Google Authenticator da seguinte maneira:
sudo apt-get install libpam-google-authenticator
Agora execute google-authenticator(dentro de um terminal) para todos os usuários com quem você deseja usar o Google Authenticator e siga as instruções. Você receberá um código QR para digitalizar com seu smartphone (ou um link) e códigos de emergência.
Para ativar o Google Authenticator, procure dentro do diretório /etc/pam.d/ . Existe um arquivo para todas as formas de autenticação no seu computador. Você precisa editar os arquivos de configuração para todos os serviços que deseja usar com o Google Authenticator. Se você quiser usá-lo com SSH, edite o sshd , se você quiser usá-lo no LightDM, edite o lightdm . Nesses arquivos, adicione uma das seguintes linhas:
auth required pam_google_authenticator.so nullok
auth required pam_google_authenticator.so
Use a primeira linha enquanto ainda estiver migrando seus usuários para o Google Authenticator. Os usuários que ainda não o configuraram ainda podem fazer login. A segunda linha forçará o uso do Google Authenticator. Os usuários que não o possuem, não podem mais fazer login. Para o sshd, é muito importante que você coloque a linha na parte superior do arquivo para evitar ataques de força bruta à sua senha.
Para adicioná-lo ao LightDM, você pode executar o seguinte:
echo "auth required pam_google_authenticator.so nullok" | sudo tee -a /etc/pam.d/lightdm
Agora, quando você fizer login, será solicitada sua senha e o código de autenticação em duas etapas separadamente.
Se você usar criptografia doméstica (ecryptfs), o arquivo $ HOME / .google_authenticator não será legível para o módulo PAM (porque ainda está criptografado). Nesse caso, você precisa movê-lo para outro lugar e informar ao PAM onde encontrá-lo. Uma linha possível pode ser assim:
auth required pam_google_authenticator.so secret=/home/.ga/${USER}/.google_authenticator
Você precisa criar um diretório para cada usuário em /home/.ga que possua o nome de usuário e alterar a propriedade desse diretório para o usuário. Em seguida, o usuário pode executar google-authenticatore mover o arquivo .google-authenticator criado para esse diretório. O usuário pode executar as seguintes linhas:
sudo install -g $(id -rgn) -o $USER -m 700 -d /home/.ga/$USER
google-authenticator
mv $HOME/.google_authenticator /home/.ga/$USER
Isso permitirá que o módulo acesse o arquivo.
Para outras opções, consulte o README .
O uso da autenticação de dois fatores no ssh configurado como descrito acima aqui anteriormente ainda deixa seu sistema aberto para possíveis ataques de força bruta à sua senha. Isso já pode comprometer o primeiro fator: sua senha. Então, pessoalmente, decidi adicionar a seguinte linha, não na parte inferior, mas na parte superior do /etc/pam.d/sshdarquivo, como anteriormente não foi observado claramente:
auth required pam_google_authenticator.so
Isso resulta primeiro em uma solicitação do seu código de verificação e, em seguida, da sua senha (independentemente de você ter inserido o código de verificação correto). Com essa configuração, se você inseriu o código ou a senha de verificação incorretamente, precisará digitá-los novamente. Concordo que é um pouco mais um incômodo, mas ei: você queria segurança ou apenas uma sensação de segurança?