Linux Hardenining: เคล็ดลับในการปกป้อง Distro ของคุณและทำให้ปลอดภัยยิ่งขึ้น

บทความจำนวนมากได้รับการเผยแพร่เมื่อ ลีนุกซ์ดิสทริบิวชัน ปลอดภัยมากขึ้นเช่น TAILS (ซึ่งช่วยให้มั่นใจได้ถึงความเป็นส่วนตัวและการไม่เปิดเผยตัวตนบนเว็บ) Whonix (ลินุกซ์สำหรับความหวาดระแวงด้านความปลอดภัย) และสิ่งรบกวนอื่น ๆ ที่มุ่งเป้าไปที่ความปลอดภัย แต่แน่นอนว่าไม่ใช่ผู้ใช้ทุกคนที่ต้องการใช้การแจกแจงเหล่านี้ นั่นคือเหตุผลที่ในบทความนี้เราจะให้คำแนะนำสำหรับ«การชุบแข็งของลินุกซ์«นั่นคือทำให้ distro ของคุณปลอดภัยมากขึ้น

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint, ... มันสร้างความแตกต่างอะไรได้บ้าง การกระจายใด ๆ สามารถปลอดภัย จะปลอดภัยที่สุดถ้าคุณรู้ลึกและรู้วิธีป้องกันตัวเองจากอันตรายที่คุกคามคุณ และสำหรับสิ่งนี้คุณสามารถดำเนินการในหลายระดับไม่เพียง แต่ในระดับซอฟต์แวร์เท่านั้น แต่ยังรวมถึงระดับฮาร์ดแวร์ด้วย

กระต่ายปลอดภัยทั่วไป:

ในส่วนนี้ฉันจะให้คุณบางส่วน เคล็ดลับพื้นฐานและเรียบง่าย ที่ไม่จำเป็นต้องมีความรู้ทางคอมพิวเตอร์เพื่อทำความเข้าใจพวกเขาเป็นเพียงสามัญสำนึก แต่บางครั้งเราไม่ได้ดำเนินการเนื่องจากความประมาทหรือความประมาท:

• อย่าอัปโหลดข้อมูลส่วนบุคคลหรือข้อมูลที่ละเอียดอ่อนไปยังระบบคลาวด์. ระบบคลาวด์ไม่ว่าจะฟรีหรือไม่และปลอดภัยมากหรือน้อยก็เป็นเครื่องมือที่ดีในการกำจัดข้อมูลของคุณไม่ว่าคุณจะไปที่ใดก็ตาม แต่พยายามอย่าอัปโหลดข้อมูลที่คุณไม่ต้องการ "แบ่งปัน" กับผู้สังเกตการณ์ ข้อมูลที่ละเอียดอ่อนประเภทนี้ควรเก็บไว้ในสื่อที่เป็นส่วนตัวมากขึ้นเช่นการ์ด SD หรือเพนไดรฟ์
• ตัวอย่างเช่นหากคุณใช้คอมพิวเตอร์เพื่อเข้าถึงอินเทอร์เน็ตและทำงานกับข้อมูลที่สำคัญให้ลองนึกภาพว่าคุณได้เข้าร่วมความคลั่งไคล้ BYOD และได้นำข้อมูลทางธุรกิจกลับบ้านไป ในสถานการณ์แบบนี้ อย่าทำงานออนไลน์ลองตัดการเชื่อมต่อ (ทำไมคุณถึงต้องการเชื่อมต่อเพื่อทำงานเช่น LibreOffice แก้ไขข้อความ) คอมพิวเตอร์ที่ไม่ได้เชื่อมต่อจะปลอดภัยที่สุดโปรดจำไว้ว่า
• ที่เกี่ยวข้องกับข้างต้น อย่าทิ้งข้อมูลสำคัญไว้ในฮาร์ดไดรฟ์ในเครื่องเมื่อทำงานออนไลน์. ขอแนะนำให้คุณมีฮาร์ดไดรฟ์ภายนอกหรือหน่วยความจำประเภทอื่น (การ์ดหน่วยความจำไดรฟ์ปากกา ฯลฯ ) ซึ่งคุณมีข้อมูลนี้ ดังนั้นเราจะวางกำแพงกั้นระหว่างอุปกรณ์ที่เชื่อมต่อกับหน่วยความจำที่ "ไม่ได้เชื่อมต่อ" ซึ่งข้อมูลสำคัญอยู่
• ทำสำเนาสำรอง ของข้อมูลที่คุณคิดว่าน่าสนใจหรือไม่ต้องการสูญเสีย เมื่อพวกเขาใช้ช่องโหว่เพื่อเข้าสู่คอมพิวเตอร์ของคุณและเพิ่มสิทธิ์ผู้โจมตีจะสามารถลบหรือจัดการข้อมูลใด ๆ โดยไม่มีอุปสรรค นั่นคือเหตุผลที่ดีกว่าที่จะมีการสำรองข้อมูล
• อย่าทิ้งข้อมูลเกี่ยวกับจุดอ่อนของคุณไว้ในฟอรัม หรือแสดงความคิดเห็นบนเว็บ ตัวอย่างเช่นคุณมีปัญหาด้านความปลอดภัยในคอมพิวเตอร์และมีพอร์ตที่เปิดอยู่ซึ่งคุณต้องการปิดอย่าปล่อยปัญหาของคุณไว้ในฟอรัมเพื่อขอความช่วยเหลือเพราะสามารถใช้กับคุณได้ ผู้ที่มีเจตนาไม่ดีสามารถใช้ข้อมูลดังกล่าวเพื่อค้นหาเหยื่อที่สมบูรณ์แบบของพวกเขา จะดีกว่าถ้าคุณหาช่างเทคนิคที่เชื่อถือได้มาช่วยแก้ปัญหาให้ นอกจากนี้ยังเป็นเรื่องปกติที่ บริษัท ต่างๆจะลงโฆษณาบนอินเทอร์เน็ตเช่น "ฉันกำลังมองหาผู้เชี่ยวชาญด้านความปลอดภัยด้านไอที" หรือ "จำเป็นต้องมีบุคลากรสำหรับแผนกรักษาความปลอดภัย" สิ่งนี้อาจบ่งบอกถึงจุดอ่อนที่เป็นไปได้ใน บริษัท ดังกล่าวและอาชญากรไซเบอร์สามารถใช้หน้าประเภทนี้เพื่อค้นหาเหยื่อได้ง่าย ... นอกจากนี้คุณยังไม่ควรทิ้งข้อมูลเกี่ยวกับระบบและเวอร์ชันที่คุณใช้บางคนอาจใช้ช่องโหว่เพื่อหาประโยชน์ได้ ช่องโหว่ของเวอร์ชันนั้น ในระยะสั้นยิ่งผู้โจมตีไม่รู้จักคุณมากเท่าไหร่เขาก็จะโจมตีได้ยากขึ้นเท่านั้น โปรดทราบว่าโดยปกติแล้วผู้โจมตีจะดำเนินกระบวนการก่อนการโจมตีที่เรียกว่า "การรวบรวมข้อมูล" และประกอบด้วยการรวบรวมข้อมูลเกี่ยวกับเหยื่อที่สามารถใช้กับพวกเขาได้
• อัปเดตอุปกรณ์ของคุณอยู่เสมอ ด้วยการอัปเดตและแพตช์ล่าสุดโปรดจำไว้ว่าในหลาย ๆ ครั้งสิ่งเหล่านี้ไม่เพียง แต่ปรับปรุงฟังก์ชันการทำงาน แต่ยังแก้ไขข้อบกพร่องและช่องโหว่เพื่อไม่ให้ถูกใช้ประโยชน์ได้อีกด้วย
• ใช้รหัสผ่านที่คาดเดายาก. อย่าใส่ชื่อที่อยู่ในพจนานุกรมหรือรหัสผ่านเช่น 12345 เนื่องจากการโจมตีด้วยพจนานุกรมจะสามารถลบออกได้อย่างรวดเร็ว นอกจากนี้อย่าทิ้งรหัสผ่านไว้โดยค่าเริ่มต้นเนื่องจากสามารถตรวจพบได้ง่าย อย่าใช้วันเดือนปีเกิดชื่อญาติสัตว์เลี้ยงหรือเกี่ยวกับรสนิยมของคุณ รหัสผ่านประเภทนี้สามารถเดาได้ง่ายโดยวิศวกรรมสังคม ที่ดีที่สุดคือใช้รหัสผ่านแบบยาวที่มีตัวเลขตัวพิมพ์ใหญ่และตัวพิมพ์เล็กและสัญลักษณ์ นอกจากนี้อย่าใช้รหัสผ่านหลักสำหรับทุกสิ่งนั่นคือหากคุณมีบัญชีอีเมลและเซสชันของระบบปฏิบัติการอย่าใช้รหัสผ่านเดียวกันสำหรับทั้งสองอย่าง นี่คือสิ่งที่ใน Windows 8 พวกเขาได้ทำพลาดไปด้านล่างเนื่องจากรหัสผ่านในการเข้าสู่ระบบจะเหมือนกับบัญชี Hotmail / Outlook ของคุณ รหัสผ่านที่ปลอดภัยเป็นประเภท: "auite3YUQK && w-" ด้วยพลังเดรัจฉานมันสามารถทำได้ แต่เวลาที่ทุ่มเทไปมันทำให้มันไม่คุ้มค่า ...
• อย่าติดตั้งแพ็คเกจจากแหล่งที่ไม่รู้จัก และถ้าเป็นไปได้ ใช้แพ็คเกจซอร์สโค้ดจากเว็บไซต์ทางการของโปรแกรมที่คุณต้องการติดตั้ง หากแพ็กเกจมีข้อสงสัยฉันขอแนะนำให้คุณใช้สภาพแวดล้อมแซนด์บ็อกซ์เช่นเหลือบ สิ่งที่คุณจะได้รับคือแอปพลิเคชันทั้งหมดที่คุณติดตั้งใน Gl เหลือบสามารถทำงานได้ตามปกติ แต่เมื่อพยายามอ่านหรือเขียนข้อมูลจะแสดงเฉพาะในสภาพแวดล้อมแซนด์บ็อกซ์เท่านั้นโดยแยกระบบของคุณออกจากปัญหา
• ใช้ สิทธิ์ของระบบให้น้อยที่สุด. และเมื่อคุณต้องการสิทธิพิเศษสำหรับงานขอแนะนำให้คุณใช้ "sudo" ก่อน "su"

เคล็ดลับทางเทคนิคอื่น ๆ อีกเล็กน้อย:

นอกเหนือจากคำแนะนำในหัวข้อก่อนหน้านี้ขอแนะนำอย่างยิ่งให้คุณทำตามขั้นตอนต่อไปนี้เพื่อให้ distro ของคุณปลอดภัยยิ่งขึ้น โปรดทราบว่าการกระจายของคุณสามารถทำได้ ปลอดภัยเท่าที่คุณต้องการฉันหมายความว่ายิ่งคุณใช้เวลาในการกำหนดค่าและรักษาความปลอดภัยนานเท่าไหร่ก็ยิ่งดีขึ้นเท่านั้น

ชุดรักษาความปลอดภัยใน Linux และ Firewall / UTM:

ใช้ SELinux หรือ AppArmor เพื่อเสริมความแข็งแกร่งให้กับลินุกซ์ของคุณ ระบบเหล่านี้ค่อนข้างซับซ้อน แต่คุณสามารถดูคู่มือที่จะช่วยคุณได้มาก AppArmor สามารถ จำกัด แม้กระทั่งแอปพลิเคชันที่ไวต่อการหาประโยชน์และการดำเนินการอื่น ๆ ที่ไม่ต้องการ AppArmor ถูกรวมไว้ในเคอร์เนลของลินุกซ์ตั้งแต่เวอร์ชัน 2.6.36 ไฟล์คอนฟิกูเรชันถูกเก็บไว้ใน /etc/apparmor.d

ปิดพอร์ตทั้งหมดที่คุณไม่ได้ใช้ บ่อยครั้ง มันจะน่าสนใจแม้ว่าคุณจะมีไฟร์วอลล์จริง แต่นั่นเป็นสิ่งที่ดีที่สุด อีกทางเลือกหนึ่งคือการอุทิศอุปกรณ์เก่าหรือที่ไม่ได้ใช้เพื่อติดตั้ง UTM หรือ Firewall สำหรับเครือข่ายในบ้านของคุณ (คุณสามารถใช้การกระจายเช่น IPCop, m0n0wall, ... ) คุณยังสามารถกำหนดค่า iptables เพื่อกรองสิ่งที่คุณไม่ต้องการออกไปได้ หากต้องการปิดคุณสามารถใช้ "iptables / netfilter" ที่รวมเคอร์เนลของ Linux เข้าด้วยกัน ฉันขอแนะนำให้คุณอ่านคู่มือเกี่ยวกับ netfilter และ iptables เนื่องจากค่อนข้างซับซ้อนและไม่สามารถอธิบายได้ในบทความ คุณสามารถดูพอร์ตที่คุณเปิดได้โดยพิมพ์ในเทอร์มินัล:

netstat -nap

การป้องกันทางกายภาพของอุปกรณ์ของเรา:

นอกจากนี้คุณยังสามารถปกป้องคอมพิวเตอร์ของคุณทางกายภาพในกรณีที่คุณไม่ไว้วางใจคนรอบข้างหรือคุณต้องทิ้งคอมพิวเตอร์ไว้ในที่ที่คนอื่น ๆ สำหรับสิ่งนี้คุณสามารถปิดการบูตด้วยวิธีอื่นที่ไม่ใช่ฮาร์ดไดรฟ์ของคุณในไฟล์ BIOS / UEFI และรหัสผ่านป้องกัน BIOS / UEFI ดังนั้นจึงไม่สามารถแก้ไขได้หากไม่มี วิธีนี้จะป้องกันไม่ให้ใครบางคนใช้ USB ที่สามารถบู๊ตได้หรือฮาร์ดไดรฟ์ภายนอกที่ติดตั้งระบบปฏิบัติการและสามารถเข้าถึงข้อมูลของคุณได้โดยไม่ต้องลงชื่อเข้าใช้ Distro ของคุณ ในการป้องกันให้เข้าไปที่ BIOS / UEFI ในส่วนความปลอดภัยคุณสามารถเพิ่มรหัสผ่านได้

คุณสามารถทำเช่นเดียวกันกับ GRUB ป้องกันด้วยรหัสผ่าน:

grub-mkpasswd-pbkdf2

ป้อนไฟล์ รหัสผ่านสำหรับ GRUB ที่คุณต้องการและจะเข้ารหัสใน SHA512 จากนั้นคัดลอกรหัสผ่านที่เข้ารหัส (รหัสที่ปรากฏใน“ PBKDF2 ของคุณคือ”) เพื่อใช้ในภายหลัง:

sudo nano /boot/grub/grub.cfg

สร้างผู้ใช้ที่จุดเริ่มต้นและใส่ไฟล์ รหัสผ่านที่เข้ารหัส. ตัวอย่างเช่นหากรหัสผ่านที่คัดลอกไว้ก่อนหน้านี้คือ "grub.pbkdf2.sha512.10000.58AA8513IEH723":

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

และบันทึกการเปลี่ยนแปลง ...

ซอฟต์แวร์น้อยลง = ความปลอดภัยมากขึ้น:

ลดจำนวนแพ็คเกจที่ติดตั้งให้น้อยที่สุด. ติดตั้งเฉพาะสิ่งที่คุณต้องการและหากคุณกำลังจะหยุดใช้ควรถอนการติดตั้ง ยิ่งคุณมีซอฟต์แวร์น้อยช่องโหว่ก็จะยิ่งน้อยลง จำไว้ ฉันแนะนำคุณด้วยบริการหรือ daemons ของโปรแกรมบางโปรแกรมที่ทำงานเมื่อระบบเริ่มทำงาน หากคุณไม่ได้ใช้ให้อยู่ในโหมด "ปิด"

ลบข้อมูลอย่างปลอดภัย:

เมื่อคุณลบข้อมูล ของดิสก์การ์ดหน่วยความจำหรือพาร์ติชันหรือแค่ไฟล์หรือไดเร็กทอรีทำได้อย่างปลอดภัย แม้ว่าคุณจะคิดว่าลบไปแล้ว แต่ก็สามารถกู้คืนได้อย่างง่ายดาย เช่นเดียวกับทางกายภาพการทิ้งเอกสารที่มีข้อมูลส่วนบุคคลในถังขยะก็ไม่มีประโยชน์เพราะอาจมีคนนำเอกสารออกจากที่เก็บและเห็นได้ดังนั้นคุณต้องทำลายกระดาษสิ่งเดียวกันนี้ก็เกิดขึ้นในการคำนวณ ตัวอย่างเช่นคุณสามารถเติมหน่วยความจำด้วยข้อมูลสุ่มหรือค่าว่างเพื่อเขียนทับข้อมูลที่คุณไม่ต้องการเปิดเผย สำหรับสิ่งนี้คุณสามารถใช้ (เพื่อให้ใช้งานได้คุณต้องเรียกใช้ด้วยสิทธิ์และแทนที่ / dev / sdax ด้วยอุปกรณ์หรือพาร์ติชันที่คุณต้องการดำเนินการในกรณีของคุณ ... ):

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

หากสิ่งที่คุณต้องการคือ ลบไฟล์เฉพาะตลอดไปคุณสามารถใช้ "shred" ตัวอย่างเช่นสมมติว่าคุณต้องการลบไฟล์ชื่อ passwords.txt โดยที่คุณมีรหัสผ่านระบบจดไว้ เราสามารถใช้ shred และเขียนทับได้เช่น 26 ครั้งข้างต้นเพื่อรับประกันว่าจะไม่สามารถกู้คืนได้หลังจากการลบ:

shred -u -z -n 26 contraseñas.txt

มีเครื่องมือเช่น HardWipe, Eraser หรือ Secure Delete ที่คุณสามารถติดตั้งได้ "ล้าง" (ลบอย่างถาวร) ความทรงจำ, SWAP พาร์ติชัน, RAM ฯลฯ

บัญชีผู้ใช้และรหัสผ่าน:

ปรับปรุงระบบรหัสผ่าน ด้วยเครื่องมือเช่น S / KEY หรือ SecurID เพื่อสร้างโครงร่างรหัสผ่านแบบไดนามิก ตรวจสอบให้แน่ใจว่าไม่มีรหัสผ่านที่เข้ารหัสในไดเร็กทอรี / etc / passwd เราต้องใช้ / etc / shadow ให้ดีขึ้น สำหรับสิ่งนี้คุณสามารถใช้ "pwconv" และ "grpconv" เพื่อสร้างผู้ใช้และกลุ่มใหม่ แต่ต้องใช้รหัสผ่านที่ซ่อนอยู่ สิ่งที่น่าสนใจอีกอย่างคือการแก้ไขไฟล์ / etc / default / passwd เพื่อให้รหัสผ่านของคุณหมดอายุและบังคับให้คุณต่ออายุเป็นระยะ ดังนั้นหากพวกเขาได้รับรหัสผ่านรหัสผ่านจะไม่คงอยู่ตลอดไปเนื่องจากคุณจะเปลี่ยนรหัสผ่านบ่อยๆ ด้วยไฟล์ /etc/login.defs คุณยังสามารถเสริมระบบรหัสผ่านได้อีกด้วย แก้ไขโดยมองหารายการ PASS_MAX_DAYS และ PASS_MIN_DAYS เพื่อระบุวันต่ำสุดและสูงสุดที่รหัสผ่านจะอยู่ได้ก่อนหมดอายุ PASS_WARN_AGE แสดงข้อความเพื่อแจ้งให้คุณทราบว่ารหัสผ่านจะหมดอายุในอีก X วันในไม่ช้า ฉันแนะนำให้คุณดูคู่มือเกี่ยวกับไฟล์นี้เนื่องจากรายการมีจำนวนมาก

ลา บัญชีที่ไม่ได้ใช้งาน และมีอยู่ใน / etc / passwd พวกเขาต้องมีตัวแปร Shell / bin / false ถ้าเป็นอย่างอื่นให้เปลี่ยนเป็นอันนี้ วิธีนี้ไม่สามารถใช้เพื่อรับเปลือกได้ นอกจากนี้ยังน่าสนใจที่จะแก้ไขตัวแปร PATH ในเทอร์มินัลของเราเพื่อให้ไดเร็กทอรีปัจจุบัน "." ไม่ปรากฏขึ้น นั่นคือต้องเปลี่ยนจาก“ ./user/local/sbin/:/usr/local/bin:/usr/bin:/bin” เป็น“ / user / local / sbin /: / usr / local / bin: / usr / bin: / bin”

ขอแนะนำให้คุณใช้ Kerberos เป็นวิธีการตรวจสอบเครือข่าย.

PAM (โมดูลการตรวจสอบความถูกต้องแบบเสียบได้) มันเป็นสิ่งที่คล้ายกับ Microsoft Active Directory มีรูปแบบการตรวจสอบสิทธิ์ทั่วไปที่ยืดหยุ่นพร้อมข้อดีที่ชัดเจน คุณสามารถดูไดเร็กทอรี /etc/pam.d/ และค้นหาข้อมูลบนเว็บ อธิบายตรงนี้ได้กว้างขวางทีเดียว ...

จับตาดูสิทธิพิเศษ ของไดเรกทอรีต่างๆ ตัวอย่างเช่น / root ควรเป็นของผู้ใช้ root และกลุ่ม root ที่มีสิทธิ์ "drwx - - - - - -" คุณสามารถค้นหาข้อมูลบนเว็บเกี่ยวกับสิทธิ์ของแต่ละไดเร็กทอรีในแผนผังไดเร็กทอรี Linux ที่ควรมี การกำหนดค่าที่แตกต่างกันอาจเป็นอันตรายได้

เข้ารหัสข้อมูลของคุณ:

เข้ารหัสเนื้อหาของไดเร็กทอรีหรือพาร์ติชัน ที่คุณมีข้อมูลที่เกี่ยวข้อง สำหรับสิ่งนี้คุณสามารถใช้ LUKS หรือ eCryptFS ตัวอย่างเช่นสมมติว่าเราต้องการเข้ารหัส / บ้านของผู้ใช้ชื่อ isaac:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

หลังจากข้างต้นระบุรหัสผ่านหรือรหัสผ่านเมื่อถูกถาม ...

เพื่อสร้าง ไดเร็กทอรีส่วนตัวตัวอย่างเช่นเรียกว่า "ส่วนตัว" เรายังสามารถใช้ eCryptFS ในไดเร็กทอรีนั้นเราสามารถใส่สิ่งที่เราต้องการเข้ารหัสเพื่อลบออกจากมุมมองของผู้อื่น:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

มันจะถามเราเกี่ยวกับพารามิเตอร์ต่างๆ ขั้นแรกจะให้เราเลือกระหว่างรหัสผ่าน OpenSSL ... และเราต้องเลือก 1 นั่นคือ "ข้อความรหัสผ่าน" จากนั้นเราป้อนรหัสผ่านที่เราต้องการสองครั้งเพื่อตรวจสอบ หลังจากนั้นเราเลือกประเภทการเข้ารหัสที่เราต้องการ (AES, Blowfish, DES3, CAST, ... ) ฉันจะเลือกอันแรก AES จากนั้นเราจะแนะนำประเภทไบต์ของคีย์ (16, 32 หรือ 64) และในที่สุดเราก็ตอบคำถามสุดท้ายด้วย "ใช่" ตอนนี้คุณสามารถเมานต์และยกเลิกการต่อเชื่อมไดเร็กทอรีนี้เพื่อใช้งานได้

ถ้าคุณต้องการ เข้ารหัสไฟล์เฉพาะคุณสามารถใช้ scrypt หรือ PGP ตัวอย่างเช่นไฟล์ชื่อ passwords.txt คุณสามารถใช้คำสั่งต่อไปนี้เพื่อเข้ารหัสและถอดรหัสตามลำดับ (ในทั้งสองกรณีระบบจะขอรหัสผ่านจากคุณ):

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

การยืนยันสองขั้นตอนด้วย Google Authenticator:

เพิ่ม การยืนยันแบบสองขั้นตอน ในระบบของคุณ ดังนั้นแม้ว่ารหัสผ่านของคุณจะถูกขโมย แต่ก็จะไม่สามารถเข้าถึงระบบของคุณได้ ตัวอย่างเช่นสำหรับ Ubuntu และสภาพแวดล้อม Unity เราสามารถใช้ LightDM ได้ แต่หลักการสามารถส่งออกไปยัง distros อื่นได้ คุณจะต้องมีแท็บเล็ตหรือสมาร์ทโฟนสำหรับสิ่งนี้คุณต้องติดตั้ง Google Authenticator จาก Play Store จากนั้นบนพีซีสิ่งแรกที่ต้องทำคือติดตั้ง Google Authenticator PAM และเริ่มต้น:

sudo apt-get install libpam-google-authenticator
google-authenticator

เมื่อคุณถามเราว่าคีย์การยืนยันจะเป็นไปตามเวลาหรือไม่เราตอบว่าใช่พร้อมกับ y ตอนนี้มันแสดงให้เราเห็นรหัส QR ที่จะรับรู้ด้วย Google Authenticator ให้ จากสมาร์ทโฟนของคุณอีกทางเลือกหนึ่งคือป้อนรหัสลับโดยตรงจากแอป (เป็นรหัสที่ปรากฏบนพีซีในชื่อ "ความลับใหม่ของคุณคือ:") และจะให้ชุดรหัสแก่เราในกรณีที่เราไม่ได้พกสมาร์ทโฟนติดตัวไปด้วยและจะเป็นการดีหากมีแมลงวันอยู่ในใจ และเรายังคงตอบกลับไปตามความชอบของเรา

ตอนนี้เราเปิด (ด้วย nano, gedit หรือโปรแกรมแก้ไขข้อความที่คุณชื่นชอบ) ไฟล์กำหนดค่า ด้วย:

sudo gedit /etc/pam.d/lightdm

และเราเพิ่มบรรทัด:

auth required pam_google_authenticator.so nullok

เราบันทึกและในครั้งต่อไปที่คุณเข้าสู่ระบบระบบจะขอไฟล์ รหัสยืนยัน ที่มือถือของเราจะสร้างให้เรา

หากวันใดวันหนึ่ง คุณต้องการลบการยืนยันแบบ XNUMX ขั้นตอนหรือไม่คุณเพียงแค่ลบบรรทัด "auth required pam_google_authenticator.so nullok" ออกจากไฟล์ /etc/pam.d/lightdm
โปรดจำไว้ว่าสามัญสำนึกและความระมัดระวังเป็นพันธมิตรที่ดีที่สุด สภาพแวดล้อม GNU / Linux มีความปลอดภัย แต่คอมพิวเตอร์ที่เชื่อมต่อกับเครือข่ายจะไม่ปลอดภัยอีกต่อไปไม่ว่าคุณจะใช้ระบบปฏิบัติการที่ดีเพียงใด หากคุณมีคำถามปัญหาหรือข้อเสนอแนะคุณสามารถทิ้งไฟล์ คิดเห็น. ฉันหวังว่ามันจะช่วย ...