Linux Hardenining: συμβουλές για την προστασία της διανομής σας και για να την κάνετε πιο ασφαλή

Πολλά άρθρα έχουν δημοσιευτεί στις Διανομές Linux πιο ασφαλές, όπως το TAILS (το οποίο διασφαλίζει το απόρρητο και την ανωνυμία σας στον Ιστό), το Whonix (ένα παρανοϊκό Linux για ασφάλεια) και άλλες διανομές που στοχεύουν στο να είναι ασφαλείς. Φυσικά, δεν θέλουν όλοι οι χρήστες να χρησιμοποιούν αυτές τις διανομές. Γι 'αυτό σε αυτό το άρθρο θα δώσουμε μια σειρά συστάσεων για το «Σκλήρυνση Linux«Δηλαδή, κάντε την διανομή σας (ό, τι κι αν είναι) πιο ασφαλής.

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint, ... τι διαφορά έχει. Οποιαδήποτε διανομή μπορεί να είναι ασφαλής ως το ασφαλέστερο αν το γνωρίζετε σε βάθος και ξέρετε πώς να προστατευτείτε από τους κινδύνους που σας απειλούν. Και για αυτό είναι δυνατό να δράσουμε σε πολλά επίπεδα, όχι μόνο σε επίπεδο λογισμικού, αλλά και σε επίπεδο υλικού.

Γενικά κουνέλια ασφαλείας:

Σε αυτήν την ενότητα θα σας δώσω μερικά πολύ βασικές και απλές συμβουλές που δεν χρειάζονται γνώσεις υπολογιστών για να τις κατανοήσουν, είναι μόνο κοινή λογική αλλά ότι μερικές φορές δεν πραγματοποιούμε λόγω απροσεξίας ή απροσεξίας:

• Μην ανεβάζετε προσωπικά ή ευαίσθητα δεδομένα στο cloud. Το cloud, ανεξάρτητα από το αν είναι δωρεάν ή όχι και αν είναι περισσότερο ή λιγότερο ασφαλές, είναι ένα καλό εργαλείο για τη διάθεση των δεδομένων σας όπου κι αν πάτε. Αλλά προσπαθήστε να μην ανεβάσετε δεδομένα που δεν θέλετε να "μοιραστείτε" με τους θεατές. Αυτός ο τύπος πιο ευαίσθητων δεδομένων πρέπει να μεταφέρεται σε ένα πιο προσωπικό μέσο, ​​όπως μια κάρτα SD ή ένα pendrive.
• Εάν χρησιμοποιείτε έναν υπολογιστή για πρόσβαση στο Διαδίκτυο και εργαστείτε με σημαντικά δεδομένα, για παράδειγμα, φανταστείτε ότι έχετε συμμετάσχει στην τρέλα BYOD και έχετε μεταφέρει ορισμένα επιχειρηματικά δεδομένα στο σπίτι σας. Λοιπόν, σε τέτοιου είδους περιστάσεις, μην δουλεύεις στο διαδίκτυο, προσπαθήστε να αποσυνδεθείτε (γιατί θέλετε να είστε συνδεδεμένοι στην εργασία, για παράδειγμα με το LibreOffice που επεξεργάζεται ένα κείμενο;). Ένας αποσυνδεδεμένος υπολογιστής είναι ο ασφαλέστερος, θυμηθείτε ότι.
• Σχετικά με τα παραπάνω, μην αφήνετε σημαντικά δεδομένα στον τοπικό σκληρό δίσκο όταν εργάζεστε στο διαδίκτυο. Σας προτείνω να έχετε έναν εξωτερικό σκληρό δίσκο ή έναν άλλο τύπο μνήμης (κάρτες μνήμης, μονάδες πένας κ.λπ.) στον οποίο έχετε αυτές τις πληροφορίες. Έτσι θα βάλουμε ένα εμπόδιο μεταξύ του συνδεδεμένου εξοπλισμού μας και αυτής της "μη συνδεδεμένης" μνήμης όπου βρίσκονται τα σημαντικά δεδομένα.
• Δημιουργήστε αντίγραφα ασφαλείας των δεδομένων που θεωρείτε ενδιαφέροντα ή δεν θέλετε να χάσετε. Όταν χρησιμοποιούν ευπάθειες για να εισέλθουν στον υπολογιστή σας και να κλιμακώσουν τα προνόμια, ο εισβολέας θα είναι σε θέση να διαγράψει ή να χειριστεί οποιαδήποτε δεδομένα χωρίς εμπόδια. Γι 'αυτό είναι καλύτερο να έχουμε ένα αντίγραφο ασφαλείας.
• Μην αφήνετε δεδομένα σχετικά με τα αδύνατα σημεία σας στα φόρουμ ή σχόλια στους ιστούς. Εάν για παράδειγμα έχετε προβλήματα ασφαλείας στον υπολογιστή σας και έχει ανοιχτές θύρες που θέλετε να κλείσετε, μην αφήσετε το πρόβλημά σας σε ένα φόρουμ για βοήθεια, επειδή μπορεί να χρησιμοποιηθεί εναντίον σας. Κάποιος με κακές προθέσεις μπορεί να χρησιμοποιήσει αυτές τις πληροφορίες για να αναζητήσει το τέλειο θύμα του. Είναι καλύτερα να βρείτε έναν αξιόπιστο τεχνικό που θα σας βοηθήσει να τα λύσετε. Είναι επίσης κοινό για τις εταιρείες να τοποθετούν διαφημίσεις στο Διαδίκτυο, όπως "Ψάχνω έναν εμπειρογνώμονα ασφαλείας πληροφορικής" ή "Απαιτείται προσωπικό για το τμήμα ασφαλείας". Αυτό μπορεί να υποδηλώνει μια πιθανή αδυναμία στην εν λόγω εταιρεία και ένας εγκληματίας στον κυβερνοχώρο μπορεί να χρησιμοποιήσει αυτούς τους τύπους σελίδων για να αναζητήσει εύκολα θύματα ... Επίσης, δεν είναι καλό να αφήνετε πληροφορίες σχετικά με το σύστημα που χρησιμοποιείτε και τις εκδόσεις, κάποιος θα μπορούσε να χρησιμοποιήσει εκμεταλλεύσεις για εκμετάλλευση ευπάθειες αυτής της έκδοσης. Εν ολίγοις, όσο περισσότερο ο εισβολέας δεν σας γνωρίζει, τόσο πιο δύσκολο θα είναι να επιτεθεί. Λάβετε υπόψη ότι οι εισβολείς πραγματοποιούν συνήθως μια διαδικασία πριν από την επίθεση που ονομάζεται «συλλογή πληροφοριών» και συνίσταται στη συλλογή πληροφοριών για το θύμα που μπορούν να χρησιμοποιηθούν εναντίον τους.
• Διατηρήστε τον εξοπλισμό σας ενημερωμένο Με τις πιο πρόσφατες ενημερώσεις και ενημερώσεις κώδικα, θυμηθείτε ότι σε πολλές περιπτώσεις, αυτά όχι μόνο βελτιώνουν τις λειτουργίες, αλλά και διορθώνουν σφάλματα και ευπάθειες, ώστε να μην αξιοποιούνται.
• Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης. Ποτέ μην τοποθετείτε ονόματα που βρίσκονται στο λεξικό ή κωδικούς πρόσβασης όπως το 12345, καθώς με επιθέσεις στο λεξικό μπορούν να αφαιρεθούν γρήγορα. Επίσης, μην αφήνετε τους κωδικούς πρόσβασης από προεπιλογή, καθώς είναι εύκολα ανιχνεύσιμοι. Επίσης, μην χρησιμοποιείτε ημερομηνίες γέννησης, ονόματα συγγενών, κατοικίδια ή για τα γούστα σας. Αυτά τα είδη κωδικών πρόσβασης μπορούν να μαντέψουν εύκολα από την κοινωνική μηχανική. Είναι καλύτερο να χρησιμοποιήσετε έναν μακρύ κωδικό πρόσβασης με αριθμούς, κεφαλαία και πεζά γράμματα και σύμβολα. Επίσης, μην χρησιμοποιείτε κύριους κωδικούς πρόσβασης για τα πάντα, δηλαδή, εάν έχετε λογαριασμό email και μια περίοδο λειτουργίας ενός λειτουργικού συστήματος, μην χρησιμοποιείτε το ίδιο και για τα δύο. Αυτό είναι κάτι που στα Windows 8 έχουν βιδώσει μέχρι κάτω, καθώς ο κωδικός πρόσβασης για σύνδεση είναι ίδιος με τον λογαριασμό σας Hotmail / Outlook. Ένας ασφαλής κωδικός πρόσβασης είναι του τύπου: "auite3YUQK && w-". Με ωμή βία θα μπορούσε να επιτευχθεί, αλλά ο χρόνος που αφιερώνεται σε αυτό δεν τον αξίζει ...
• Μην εγκαταστήσετε πακέτα από άγνωστες πηγές και αν είναι δυνατόν. Χρησιμοποιήστε τα πακέτα πηγαίου κώδικα από τον επίσημο ιστότοπο του προγράμματος που θέλετε να εγκαταστήσετε. Εάν τα πακέτα είναι αμφισβητήσιμα, σας συνιστούμε να χρησιμοποιήσετε ένα περιβάλλον sandbox όπως το Glimpse. Αυτό που θα επιτύχετε είναι ότι όλες οι εφαρμογές που εγκαθιστάτε στο Glimpse μπορούν να εκτελούνται κανονικά, αλλά όταν προσπαθείτε να διαβάσετε ή να γράψετε δεδομένα, αντικατοπτρίζεται μόνο στο περιβάλλον του sandbox, απομονώνοντας το σύστημά σας από προβλήματα.
• χρήση προνόμια συστήματος όσο το δυνατόν λιγότερο. Και όταν χρειάζεστε προνόμια για μια εργασία, συνιστάται να χρησιμοποιείτε το "sudo" κατά προτίμηση πριν από το "su".

Άλλες ελαφρώς πιο τεχνικές συμβουλές:

Εκτός από τις συμβουλές που αναφέρθηκαν στην προηγούμενη ενότητα, συνιστάται επίσης να ακολουθήσετε τα παρακάτω βήματα για να κάνετε την διανομή σας ακόμα πιο ασφαλής. Λάβετε υπόψη ότι η διανομή σας μπορεί να είναι όσο ασφαλές θέλετεΕννοώ, όσο περισσότερο χρόνο ξοδεύετε τη διαμόρφωση και την ασφάλεια, τόσο το καλύτερο.

Σουίτες ασφαλείας σε Linux και Firewall / UTM:

χρήση SELinux ή AppArmor για να ενισχύσετε το Linux. Αυτά τα συστήματα είναι κάπως περίπλοκα, αλλά μπορείτε να δείτε εγχειρίδια που θα σας βοηθήσουν πολύ. Το AppArmor μπορεί να περιορίσει ακόμη και εφαρμογές ευαίσθητες σε εκμεταλλεύσεις και άλλες ανεπιθύμητες ενέργειες διαδικασίας. Το AppArmor έχει συμπεριληφθεί στον πυρήνα Linux από την έκδοση 2.6.36. Το αρχείο διαμόρφωσής του αποθηκεύεται στο /etc/apparmor.d

Κλείστε όλες τις θύρες που δεν χρησιμοποιείτε συχνά. Θα ήταν ενδιαφέρον ακόμη και αν έχετε ένα φυσικό τείχος προστασίας, αυτό είναι το καλύτερο. Μια άλλη επιλογή είναι να αφιερώσετε έναν παλιό ή αχρησιμοποίητο εξοπλισμό για την υλοποίηση ενός UTM ή Firewall για το οικιακό σας δίκτυο (μπορείτε να χρησιμοποιήσετε διανομές όπως IPCop, m0n0wall, ...). Μπορείτε επίσης να διαμορφώσετε τα iptables για να φιλτράρετε αυτό που δεν θέλετε. Για να τα κλείσετε μπορείτε να χρησιμοποιήσετε το "iptables / netfilter" που ενσωματώνει τον ίδιο τον πυρήνα Linux. Σας συνιστώ να συμβουλευτείτε εγχειρίδια για το netfilter και τα iptables, καθώς είναι αρκετά περίπλοκα και δεν μπορούσαν να εξηγηθούν σε ένα άρθρο. Μπορείτε να δείτε τις θύρες που έχετε ανοίξει πληκτρολογώντας στο τερματικό:

netstat -nap

Φυσική προστασία του εξοπλισμού μας:

Μπορείτε επίσης να προστατέψετε φυσικά τον υπολογιστή σας σε περίπτωση που δεν εμπιστεύεστε κάποιον γύρω σας ή πρέπει να αφήσετε τον υπολογιστή σας κάπου μακριά από άλλα άτομα. Για αυτό μπορείτε να απενεργοποιήσετε την εκκίνηση από άλλα μέσα εκτός από τον σκληρό σας δίσκο στο BIOS / UEFI και ο κωδικός πρόσβασης προστατεύει το BIOS / UEFI, ώστε να μην μπορούν να το τροποποιήσουν χωρίς αυτό. Αυτό θα εμποδίσει κάποιον να πάρει ένα bootable USB ή εξωτερικό σκληρό δίσκο με εγκατεστημένο ένα λειτουργικό σύστημα και να μπορεί να έχει πρόσβαση στα δεδομένα σας από αυτό, χωρίς καν να χρειάζεται να συνδεθεί στη διανομή σας. Για να το προστατεύσετε, αποκτήστε πρόσβαση στο BIOS / UEFI, στην ενότητα Ασφάλεια μπορείτε να προσθέσετε τον κωδικό πρόσβασης.

Μπορείτε να κάνετε το ίδιο με GRUB, προστατεύοντας με κωδικό πρόσβασης:

grub-mkpasswd-pbkdf2

Εισάγετε το κωδικός πρόσβασης για GRUB θέλετε και θα κωδικοποιηθεί στο SHA512. Στη συνέχεια, αντιγράψτε τον κρυπτογραφημένο κωδικό πρόσβασης (αυτός που εμφανίζεται στο "Το PBKDF2 σας είναι") για χρήση αργότερα:

sudo nano /boot/grub/grub.cfg

Δημιουργήστε έναν χρήστη στην αρχή και τοποθετήστε το κρυπτογραφημένος κωδικός πρόσβασης. Για παράδειγμα, εάν ο κωδικός πρόσβασης που αντιγράφηκε προηγουμένως ήταν "grub.pbkdf2.sha512.10000.58AA8513IEH723":

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

Και αποθηκεύστε τις αλλαγές ...

Λιγότερο λογισμικό = μεγαλύτερη ασφάλεια:

Ελαχιστοποιήστε τον αριθμό των εγκατεστημένων πακέτων. Εγκαταστήστε μόνο αυτά που χρειάζεστε και εάν πρόκειται να σταματήσετε να χρησιμοποιείτε ένα, είναι καλύτερο να το απεγκαταστήσετε. Όσο λιγότερο λογισμικό έχετε, τόσο λιγότερες ευπάθειες. Θυμήσου το. Το ίδιο σας συμβουλεύω με τις υπηρεσίες ή τους δαίμονες ορισμένων προγραμμάτων που εκτελούνται κατά την εκκίνηση του συστήματος. Εάν δεν τα χρησιμοποιείτε, θέστε τα σε κατάσταση "off".

Διαγραφή πληροφοριών με ασφάλεια:

Όταν διαγράφετε πληροφορίες ενός δίσκου, κάρτας μνήμης ή διαμερίσματος, ή απλώς ενός αρχείου ή καταλόγου, κάντε το με ασφάλεια. Ακόμα κι αν νομίζετε ότι το έχετε διαγράψει, μπορεί να ανακτηθεί εύκολα. Όπως και φυσικά, δεν είναι χρήσιμο να πετάξετε ένα έγγραφο με προσωπικά δεδομένα στον κάδο απορριμμάτων, επειδή κάποιος θα μπορούσε να το βγάλει έξω από το δοχείο και να το δει, έτσι πρέπει να καταστρέψετε το χαρτί, το ίδιο πράγμα συμβαίνει και στον υπολογιστή. Για παράδειγμα, μπορείτε να γεμίσετε τη μνήμη με τυχαία ή μηδενικά δεδομένα για να αντικαταστήσετε δεδομένα που δεν θέλετε να εκθέσετε. Για αυτό μπορείτε να χρησιμοποιήσετε (για να λειτουργήσει πρέπει να το εκτελέσετε με προνόμια και να αντικαταστήσετε / dev / sdax με τη συσκευή ή το διαμέρισμα στο οποίο θέλετε να ενεργήσετε στην περίπτωσή σας ...):

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Αν θέλετε αυτό που θέλετε διαγράψτε ένα συγκεκριμένο αρχείο για πάντα, μπορείτε να χρησιμοποιήσετε το "τεμαχισμένο". Για παράδειγμα, φανταστείτε ότι θέλετε να διαγράψετε ένα αρχείο που ονομάζεται passwords.txt όπου έχετε γράψει κωδικούς πρόσβασης συστήματος. Μπορούμε να χρησιμοποιήσουμε τεμαχισμό και αντικατάσταση για παράδειγμα 26 φορές παραπάνω για να εγγυηθούμε ότι δεν μπορεί να ανακτηθεί μετά τη διαγραφή:

shred -u -z -n 26 contraseñas.txt

Υπάρχουν εργαλεία όπως HardWipe, Eraser ή Secure Delete στα οποία μπορείτε να εγκαταστήσετε "Σβήσιμο" (μόνιμη διαγραφή) αναμνήσεων, Διαμερίσματα SWAP, RAM κ.λπ.

Λογαριασμοί χρηστών και κωδικοί πρόσβασης:

Βελτιώστε το σύστημα κωδικών πρόσβασης με εργαλεία όπως S / KEY ή SecurID για να δημιουργήσετε ένα δυναμικό σχήμα κωδικού πρόσβασης. Βεβαιωθείτε ότι δεν υπάρχει κρυπτογραφημένος κωδικός πρόσβασης στον κατάλογο / etc / passwd. Πρέπει να χρησιμοποιήσουμε καλύτερα το / etc / shadow. Για αυτό μπορείτε να χρησιμοποιήσετε το "pwconv" και το "grpconv" για να δημιουργήσετε νέους χρήστες και ομάδες, αλλά με έναν κρυφό κωδικό πρόσβασης. Ένα άλλο ενδιαφέρον πράγμα είναι να επεξεργαστείτε το αρχείο / etc / default / passwd για να λήξουν οι κωδικοί πρόσβασής σας και να σας αναγκάσει να τους ανανεώνετε περιοδικά. Έτσι, εάν λάβουν έναν κωδικό πρόσβασης, δεν θα διαρκέσει για πάντα, καθώς θα τον αλλάζετε συχνά. Με το αρχείο /etc/login.defs μπορείτε επίσης να ενισχύσετε το σύστημα κωδικών πρόσβασης. Επεξεργαστείτε το, αναζητώντας την καταχώρηση PASS_MAX_DAYS και PASS_MIN_DAYS για να καθορίσετε τις ελάχιστες και μέγιστες ημέρες που μπορεί να διαρκέσει ένας κωδικός πρόσβασης πριν από τη λήξη. Το PASS_WARN_AGE εμφανίζει ένα μήνυμα για να σας ενημερώσει ότι ο κωδικός πρόσβασης θα λήξει σύντομα σε X ημέρες. Σας συμβουλεύω να δείτε ένα εγχειρίδιο σε αυτό το αρχείο, καθώς οι καταχωρήσεις είναι πάρα πολλές.

ο λογαριασμούς που δεν χρησιμοποιούνται και είναι παρόντα στο / etc / passwd, πρέπει να έχουν τη μεταβλητή κελύφους / bin / false. Εάν είναι άλλο, αλλάξτε το σε αυτό. Με αυτόν τον τρόπο δεν μπορούν να χρησιμοποιηθούν για να πάρουν ένα κέλυφος. Είναι επίσης ενδιαφέρον να τροποποιήσετε τη μεταβλητή PATH στο τερματικό μας έτσι ώστε ο τρέχων κατάλογος "." Να μην εμφανίζεται. Δηλαδή, πρέπει να αλλάξει από το να είναι "./user/local/sbin/:/usr/local/bin:/usr/bin:/bin" σε "/ user / local / sbin /: / usr / local / bin : / usr / bin: / bin ».

Συνιστάται να χρησιμοποιείτε Το Kerberos ως μέθοδος ελέγχου ταυτότητας δικτύου.

PAM (Ενσωματωμένη μονάδα ελέγχου ταυτότητας) είναι κάτι σαν το Microsoft Active Directory. Παρέχει ένα κοινό, ευέλικτο σύστημα ελέγχου ταυτότητας με σαφή πλεονεκτήματα. Μπορείτε να ρίξετε μια ματιά στον κατάλογο /etc/pam.d/ και να αναζητήσετε πληροφορίες στον Ιστό. Είναι αρκετά εκτεταμένο να εξηγήσω εδώ ...

Παρακολουθήστε τα προνόμια των διαφόρων καταλόγων. Για παράδειγμα, το / root πρέπει να ανήκει στον χρήστη root και στην ομάδα root, με δικαιώματα "drwx - - - - - -". Μπορείτε να βρείτε πληροφορίες στον Ιστό σχετικά με τα δικαιώματα που πρέπει να έχει κάθε κατάλογος στο δέντρο καταλόγου Linux. Μια διαφορετική διαμόρφωση θα μπορούσε να είναι επικίνδυνη.

Κρυπτογράφηση των δεδομένων σας:

Κρυπτογραφεί τα περιεχόμενα ενός καταλόγου ή ενός διαμερίσματος όπου έχετε σχετικές πληροφορίες. Για αυτό μπορείτε να χρησιμοποιήσετε το LUKS ή με το eCryptFS. Για παράδειγμα, φανταστείτε ότι θέλουμε να κρυπτογραφήσουμε / το σπίτι ενός χρήστη που ονομάζεται isaac:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

Μετά τα παραπάνω, υποδείξτε τη φράση πρόσβασης ή τον κωδικό πρόσβασης όταν σας ζητηθεί ...

Για να δημιουργήσετε ένα ιδιωτικός κατάλογοςΓια παράδειγμα, ονομάζεται "ιδιωτικό", μπορούμε επίσης να χρησιμοποιήσουμε το eCryptFS. Σε αυτόν τον κατάλογο μπορούμε να βάλουμε τα πράγματα που θέλουμε να κρυπτογραφήσουμε για να το αφαιρέσουμε από την προβολή άλλων:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

Θα μας κάνει ερωτήσεις σχετικά με διαφορετικές παραμέτρους. Πρώτον, θα μας επιτρέψει να επιλέξουμε ανάμεσα στους κωδικούς πρόσβασης, το OpenSSL, ... και πρέπει να επιλέξουμε 1, δηλαδή τη φράση πρόσβασης. Στη συνέχεια εισάγουμε τον κωδικό πρόσβασης που θέλουμε να επαληθεύσουμε δύο φορές. Μετά από αυτό, επιλέγουμε τον τύπο κρυπτογράφησης που θέλουμε (AES, Blowfish, DES3, CAST, ...). Θα επέλεγα το πρώτο, AES και μετά θα εισαγάγαμε τον τύπο byte του κλειδιού (16, 32 ή 64). Και τέλος απαντάμε στην τελευταία ερώτηση με "ναι". Τώρα μπορείτε να προσαρτήσετε και να αποσυνδέσετε αυτόν τον κατάλογο για να τον χρησιμοποιήσετε.

Αν θέλετε απλώς κρυπτογράφηση συγκεκριμένων αρχείων, μπορείτε να χρησιμοποιήσετε scrypt ή PGP. Για παράδειγμα, ένα αρχείο που ονομάζεται passwords.txt, μπορείτε να χρησιμοποιήσετε τις ακόλουθες εντολές για κρυπτογράφηση και αποκρυπτογράφηση αντίστοιχα (και στις δύο περιπτώσεις θα σας ζητήσει κωδικό πρόσβασης):

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Επαλήθευση σε δύο βήματα με τον Επαληθευτή Google:

Προσθέστε επαλήθευση σε δύο βήματα στο σύστημά σας. Έτσι, ακόμη και αν ο κωδικός πρόσβασής σας έχει κλαπεί, δεν θα έχουν πρόσβαση στο σύστημά σας. Για παράδειγμα, για το Ubuntu και το περιβάλλον Unity μπορούμε να χρησιμοποιήσουμε το LightDM, αλλά οι αρχές μπορούν να εξαχθούν σε άλλες διανομές. Θα χρειαστείτε ένα tablet ή smartphone για αυτό, σε αυτό πρέπει να εγκαταστήσετε το Google Authenticator από το Play Store. Στη συνέχεια, στον υπολογιστή, το πρώτο πράγμα που πρέπει να κάνετε είναι να εγκαταστήσετε το Google Authenticator PAM και να το ξεκινήσετε:

sudo apt-get install libpam-google-authenticator
google-authenticator

Όταν μας ρωτάτε εάν τα κλειδιά επαλήθευσης θα βασίζονται στην ώρα, θα απαντήσουμε καταφατικά με y. Τώρα μας δείχνει έναν κωδικό QR για αναγνώριση Επαληθευτής Google Από το smartphone σας, μια άλλη επιλογή είναι να εισαγάγετε το μυστικό κλειδί απευθείας από την εφαρμογή (είναι αυτή που εμφανίστηκε στον υπολογιστή ως "Το νέο μυστικό σας είναι:"). Και θα μας δώσει μια σειρά κωδικών σε περίπτωση που δεν μεταφέρουμε το smartphone μαζί μας και θα ήταν καλό να τους έχουμε κατά νου σε περίπτωση που πετούν. Και συνεχίζουμε να απαντάμε με το yon σύμφωνα με τις προτιμήσεις μας.

Τώρα ανοίγουμε (με nano, gedit ή τον αγαπημένο σας επεξεργαστή κειμένου) το αρχείο διαμόρφωσης με:

sudo gedit /etc/pam.d/lightdm

Και προσθέτουμε τη γραμμή:

auth required pam_google_authenticator.so nullok

Αποθηκεύουμε και την επόμενη φορά που θα συνδεθείτε, θα μας ζητήσει το κλειδί επαλήθευσης που θα δημιουργήσει το κινητό μας για εμάς.

Αν μια μέρα θέλετε να καταργήσετε την επαλήθευση σε XNUMX βήματα, απλώς πρέπει να διαγράψετε τη γραμμή "απαιτείται η έγκριση pam_google_authenticator.so nullok" από το αρχείο /etc/pam.d/lightdm
Θυμηθείτε, η κοινή λογική και η προσοχή είναι ο καλύτερος σύμμαχος. Ένα περιβάλλον GNU / Linux είναι ασφαλές, αλλά οποιοσδήποτε υπολογιστής συνδεδεμένος σε δίκτυο δεν είναι πλέον ασφαλής, ανεξάρτητα από το πόσο καλό είναι το λειτουργικό σύστημα που χρησιμοποιείτε. Εάν έχετε οποιεσδήποτε ερωτήσεις, προβλήματα ή προτάσεις, μπορείτε να αφήσετε τη δική σας σχόλιο. Ελπίζω να βοηθήσει ...