Como habilitar a autenticação de dois fatores no Linux para fazer login

Por
Twittar
Compartilhar
Compartilhar
Pin

O Linux é conhecido por exigir uma senha para fazer qualquer coisa no sistema central. É por isso que muitos consideram o Linux um pouco mais seguro do que a maioria dos sistemas operacionais (embora não seja perfeito de forma alguma). Ter uma senha forte e uma boa política de sudoer é ótimo, mas não é infalível e, às vezes, não é suficiente para protegê-lo. É por isso que muitos no campo da segurança passaram a usar a autenticação de dois fatores no Linux

Neste artigo, veremos como habilitar a autenticação de dois fatores no Linux usando o Google Authenticator.

Instalação

O uso do Google Authenticator é possível, graças a um pam plugar. Use este plugin com o GDM (e outros gerenciadores de desktop que o suportam). Veja como instalá-lo em seu PC Linux.

Nota: Antes de configurar este plug-in em seu PC Linux, vá para o Loja de aplicativos do Google (ou) Loja de aplicativos da Apple e baixe o Google Authenticator, pois é uma parte fundamental deste tutorial.

Ubuntu

sudo apt install libpam-google-authenticator

Debian

sudo apt-get install libpam-google-authenticator

Arch Linux

O Arch Linux não suporta o módulo de autenticação pam Google por padrão. Os usuários precisarão pegar e compilar o módulo por meio de um pacote AUR. Baixe a versão mais recente do PKGBUILD ou aponte seu ajudante AUR favorito para fazê-lo funcionar.

  Como construir seu próprio NAS Linux com o Open Media Vault

Fedora

sudo dnf install google-authenticator

OpenSUSE

sudo zypper install google-authenticator-libpam

Outros Linux

O código-fonte para a versão Linux do Google Authenticator, bem como o plug-in libpam usado neste guia, estão prontamente disponíveis no Github. Se você estiver usando uma distribuição Linux não tradicional, cabeça aqui e siga as instruções da página. As instruções podem ajudá-lo a compilá-lo a partir da fonte.

Configurar o Google Authenticator no Linux

Um arquivo de configuração precisa ser editado antes que o pam funcione com o plug-in do Google Authentication. Para modificar este arquivo de configuração, abra uma janela de terminal. Dentro do terminal, execute:

sudo nano /etc/pam.d/common-auth

Dentro do arquivo de autenticação comum, há muito o que examinar. Muitos comentários e notas sobre como o sistema deve usar as configurações de autenticação entre serviços no Linux. Ignore tudo isso no arquivo e role até “# aqui estão os módulos por pacote (o bloco “Primário”)”. Mova o cursor abaixo dele com a tecla de seta para baixo e pressione enter para criar uma nova linha. Então escreva isso:

auth required pam_google_authenticator.so

Depois de escrever esta nova linha, pressione CTRL + O para salvar a edição. Em seguida, pressione CTRL + X para sair do Nano.

  A queda de Max Payne no Linux

Em seguida, volte ao terminal e digite “google-authenticator”. Em seguida, você será solicitado a responder a algumas perguntas.

A primeira pergunta que o Google Authenticator faz é “Você deseja que os tokens de autenticação sejam baseados em tempo”. Responda “sim” pressionando y no teclado.

Depois de responder a esta pergunta, a ferramenta imprimirá uma nova chave secreta, juntamente com alguns códigos de emergência. Anote esses códigos, pois é importante.

Continue e responda as próximas três perguntas como “sim”, seguidas de “não” e “não”.

A última pergunta que o autenticador faz tem a ver com a limitação de taxa. Essa configuração, quando ativada, faz com que o Google Authenticator permita apenas 3 tentativas de tentativa/falha a cada 30 segundos. Por motivos de segurança, recomendamos que você responda sim a isso, mas não há problema em responder não se a limitação de taxa não for algo com o qual você se importa.

Configurando o Google Authenticator

O lado Linux das coisas está funcionando. Agora é hora de configurar o aplicativo Google Authenticator para que funcione com a nova configuração. Para começar, abra o aplicativo e selecione a opção “digite uma chave fornecida”. Isso abre uma área “inserir detalhes da conta”.

  Como encontrar vírus através da linha de comando no Linux

Nesta área, há duas coisas a serem preenchidas: o nome do PC com o qual você está usando o autenticador, bem como a chave secreta que você anotou anteriormente. Preencha ambos e o Google Authenticator estará operacional.

Fazendo login

Você configurou o Google Authenticator no Linux, bem como no seu dispositivo móvel, e tudo funciona como deveria. Para fazer login, selecione o usuário no GDM (ou LightDM etc). Imediatamente após selecionar o usuário, seu sistema operacional solicitará um código de autenticação. Abra seu dispositivo móvel, acesse o Google Authenticator e digite o código que aparece no gerenciador de login.

Se o código for bem-sucedido, você poderá inserir a senha do usuário.

Observação: configurar o Google Authenticator no Linux não afeta apenas o gerenciador de login. Em vez disso, cada vez que um usuário tenta obter acesso root, acessar privilégios sudo ou fazer qualquer coisa que exija uma senha, é necessário um código de autenticação.

Conclusão

Ter a autenticação de dois fatores diretamente conectada ao desktop Linux adiciona uma camada extra de segurança que deveria estar lá por padrão. Com isso ativado, é muito mais difícil obter acesso ao sistema de alguém.

Dois fatores podem ser duvidosos às vezes (como se você for muito lento para o autenticador), mas no geral é uma adição bem-vinda a qualquer gerenciador de desktop Linux.