Google Authenticator for Desktop (plug-in lightdm ou gdm)

Il y a eu une question similaire , mais ce n’est pas exactement ce que je veux.

J’aimerais savoir s’il existe un plugin ou un add-on pour lightdm ou gdm qui me permet de m’authentifier à l’aide de mon mot de passe ET de l’authentificateur Google. Je parle de la saisie de votre code GA dans le login du bureau (interface graphique ou en ligne de commande, login du shell) afin d’avoir access à votre bureau local.

Consultez cet article de blog intitulé: Authentification en deux étapes de Google sur votre bureau Qu’est-ce que c’est?

Installation

sudo apt-get install libpam-google-authenticator 

Usage

 google-authenticator 

SS n ° 1SS n ° 2

Selon l’article de blog, il existe une version de lightdm-kde qui inclut l’authentification à 2 facteurs incluse, qui peut tirer parti de Google Authenticator lorsque vous ajoutez le module PAM inclus dans votre environnement.

 auth required pam_google_authenticator.so 

Résultat: les connexions de votre interface graphique ressemblent à ceci:

SS n ° 3SS # 4

source ici

Installation

Installez le module PAM de Google Authenticator comme suit:

 sudo apt-get install libpam-google-authenticator 

Maintenant, lancez google-authenticator (dans un terminal) pour chaque utilisateur avec lequel vous voulez utiliser Google Authenticator et suivez les instructions. Vous obtiendrez un code QR pour numériser avec votre smartphone (ou un lien) et des codes d’urgence.

Configuration

Pour activer Google Authenticator, consultez le répertoire /etc/pam.d/ . Il existe un fichier pour chaque moyen de s’authentifier sur votre ordinateur. Vous devez modifier les fichiers de configuration de chaque service que vous souhaitez utiliser avec Google Authenticator. Si vous souhaitez l’utiliser avec SSH, modifiez sshd , si vous souhaitez l’utiliser dans LightDM, modifiez lightdm . Dans ces fichiers, ajoutez l’ une des lignes suivantes:

 auth required pam_google_authenticator.so nullok auth required pam_google_authenticator.so 

Utilisez la première ligne pendant la migration de vos utilisateurs vers Google Authenticator. Les utilisateurs qui ne l’ont pas configuré peuvent toujours se connecter. La deuxième ligne force l’utilisation de Google Authenticator. Les utilisateurs qui ne l’ont pas, ne peuvent plus se connecter. Pour sshd, il est très important de placer la ligne en haut du fichier pour empêcher les attaques brutales sur votre mot de passe.

Pour l’append à LightDM, vous pouvez lancer ceci:

 echo "auth required pam_google_authenticator.so nullok" | sudo tee -a /etc/pam.d/lightdm 

Désormais, lorsque vous vous connecterez, vous recevrez séparément votre mot de passe et le code d’authentification en deux étapes.

Répertoires personnels cryptés

Si vous utilisez home-encryption (ecryptfs), le fichier $ HOME / .google_authenticator ne sera pas lisible par le module PAM (car il est toujours crypté). Dans ce cas, vous devez le déplacer ailleurs et indiquer à PAM où le trouver. Une ligne possible pourrait ressembler à ceci:

 auth required pam_google_authenticator.so secret=/home/.ga/${USER}/.google_authenticator 

Vous devez créer un répertoire pour chaque utilisateur dans /home/.ga qui porte le nom de l’utilisateur et en changer le propriétaire. Ensuite, l’utilisateur peut exécuter google-authenticator authentator et déplacer le fichier .google-authentator créé vers ce répertoire. L’utilisateur peut exécuter les lignes suivantes:

 sudo install -g $(id -rgn) -o $USER -m 700 -d /home/.ga/$USER google-authenticator mv $HOME/.google_authenticator /home/.ga/$USER 

Cela permettra au module d’accéder au fichier.

Pour d’autres options, consultez le fichier README .

L’utilisation de l’authentification à deux facteurs sur ssh configurée de la manière décrite ci-dessus laisse votre système toujours ouvert à d’éventuelles attaques par force brutale sur votre mot de passe. Cela pourrait déjà compromettre le premier facteur: votre mot de passe. Personnellement, j’ai donc décidé d’append la ligne suivante non pas en bas mais en haut du fichier /etc/pam.d/sshd , ce qui n’était pas indiqué clairement auparavant:

 auth required pam_google_authenticator.so 

Cela se traduit d’abord par une invite pour votre code de vérification, puis pour votre mot de passe (que vous ayez entré le code de vérification correctement). Avec cette configuration, si vous avez entré le code de vérification ou le mot de passe de manière incorrecte, vous devez les saisir à nouveau. Je conviens que c’est un peu plus gênant, mais bon: vous vouliez la sécurité ou juste un sentiment de sécurité?