Pular para o conteúdo principal

Como usar a autenticação de dois fatores com Ubuntu

Normalmente conhecida MFA (autenticação multifator), a autenticação de 2 fatores fornece uma camada extra de segurança que exige que os usuários forneçam certos detalhes, como códigos ou OTP (senha de uso único) antes ou depois da autenticação com o nome de usuário e senha usuais. 

Neste post vamos mostrar como você pode usar a autenticação de dois fatores no login do Ubuntu utilizando uma MFA do Google.


Primerio passo: Instalar o pacote PAM do Google

Precisamos instalar o pacote Google PAM (Pluggable Authentication Module) que é um software que acrescenta uma camada de autenticação na plataforma Linux. Este pacote está disponível no repositório Ubuntu, portanto podemos utilizar o comando apt para instalá-lo da seguinte forma:

$ sudo apt install libpam-google-authenticator


Se solicitado, pressione 'Y' + ENTER para continuar com a instalação.

Para continuar você irá precisar do Google Authenticator App instalado no seu smartphone.

Passo 2: Configurar o Google PAM no login do Ubuntu

A configuração do pacote Google PAM no Ubuntu é relativamente simples. Primeiro precisamos alterar o arquivo /etc/pam.d/common-auth adicionando na linha indicada na figura. Use o seu editor de texto favorito para acrescentar a linha indicada na figura abaixo:


Salve o arquivo e saia do editor.

No prompt, execute o comando abaixo para inicializar o PAM.

$ google-authenticator


Este comando irá apresentar algumas perguntas na tela do seu terminal. 
Primeiro, indique se deseja que os tokens de autenticação sejam baseados no tempo.

Os tokens de autenticação baseados em tempo expiram após um determinado período, que por padrão, é após 30 segundos. Depois deste período, um novo conjunto de tokens é gerado. Esses tokens são considerados mais seguros do que tokens não baseados em tempo e, portanto, digite 'y' para sim e pressione ENTER.

A seguir, um código QR será exibido no terminal conforme mostrado abaixo e logo abaixo dele, algumas informações que incluem:

  • Chave secreta
  • Código de verificação
  • Códigos de risco de emergência

Você precisa salvar essas informações para referência futura. Os códigos de emergência são extremamente úteis caso você perca seu dispositivo autenticador.

Inicie o aplicativo Google Authenticator no smartphone e selecione ‘Scan QR code’ para digitalizar o código QR apresentado. Após scanear o QR code, o app vai mostrar um código que você deve preencher no terminal. No meu caso foi "636280".


Depois de entrar com o codigo, mais duas perguntas são feitas, como indicado na figura acima.

Selecione 'y' para atualizar o arquivo do autenticador Google em sua pasta pessoal e restrinja o login a apenas um log a cada 30 segundos para evitar ataques que possam surgir devido a ataques man-in-the-middle. Portanto selecione 'y' também para esta opção.


No próximo prompt (mostrado na figura acima), selecione 'n' para proibir a extensão da duração que aborda a diferença de tempo entre o servidor e o cliente. Esta é a opção mais segura, a menos que você esteja enfrentando desafios de má sincronização de horário.Caso contrário, você pode setar como "y" para permitir alguma defasagem de tempo.

Finalmente, responda a última pergunta sobre a habilite a limitação de taxa para apenas 3 tentativas de login.

Neste ponto, a instalação e configuração do recurso de 2FA está concluída. Se você tanter executar qualquer comando sudo, será solicitado um código de verificação que pode ser obtido no aplicativo Google Authenticator. O login na tela também é afetado. Além do nome de usuário e senha, agora aparece um requisição adicional (mostrada abaixo) que deve ser preenchida com o código do app.



Comentários

Postar um comentário

Postagens mais visitadas deste blog

Como colocar o PyCharm no launcher do Ubuntu

Atualizei recentemente meu pycharm para a versão 2018.1. A atualização basicamente consiste em baixar do site da Jetbrains  dedicado ao PyCharm, e depois do download basta descompactar e mover o diretório criado para você você achar mais adequado. No meu caso está em ~/bin/pycharm. Para rodar o pycharm é só executar o script pycharm.sh que está no diretório bin dentro do diretório do pycharm, isto é, no meu caso ~/bin/pycharm/bin/pycharm.sh. Eu queria ter o ícone do pycharm no launcher (aquela barra lateral do Ubuntu) para ficar mais fácil chamá-lo. O PyCharm pode criar seu próprio ícone de lançador, contudo ele não é cria por padrão. A gente tem que executar alguns comandos: 1) Comece chamando o PyCharm em um terminal. 2) No menu Ferramentas, selecione "Criar entrada da área de trabalho ..." 3) Se você já tem o PyCharm, ele irá perguntar se você quer reaproveitar as configurações da versão anterior: 4) Marque a caixa correspondente, se você quiser o lanç...
Postar um comentário
Leia mais

Configurar a ação do Ubuntu 20 ao fechar a tela do notebook

Este post mostra como alterar a ação quando a tampa do laptop é fechada no Ubuntu 20.04 - por exemplo, desligar, hibernar, não fazer nada ou travar a tela. A ação padrão do Ubuntu é suspender a atividade do notebook. Até onde eu sei, até o momento deste post não existe uma opção gráfica para fazer esta configuração, portanto você precisa editar o arquivo logind.conf para alterar a ação. Esta configuração deve funcionar em instalações tipo desktop ou servidor do Ubuntu. Você precisa abrir o terminal (normalmente isto pode ser feito pressionando simultaneamente Ctrl + Alt + T). Com o terminal aberto você pode utilizar um editor para alterar as linhas que controlam a ação. Por exemplo, digite na linha de comando: sudo vi /etc/systemd/logind.conf No arquivo procure a linha (note the # indica que a linha está comentada) # HandleLidSwitch = suspend e altere-a para uma das seguintes opções (note que agora a linha não começa mais com #) - trava o desktop quando a tampa está fechada: HandleLidS...
Postar um comentário
Leia mais

Resetando a senha do administrador local no Windows Server 2012

Existem diversas formas de redefinir a senha em seu servidor Windows 2012 quando você esqueceu ela. Neste post mostraremos como alterar a senha do usuário administrador, quando você tem acesso físico à ele. Você precisará do DVD de instalação do Windows para fazer isto. São os seguintes passos: 1-) Reinicie o seu computador dando boot pelo DVD do Microsoft Windows Server 2012 (pode ser outra versão) 2-) No menu Instalação do Windows (mostrado abaixo), clique em "Avançar". 3-) Selecione "Reparar seu computador" Como estamos utilizando o DVD do Windows 2008 para reparar um Windows 2012, o seguinte aviso é mostrado. Concorde clicando em Next. 4-) Clique em "Aviso de comando" para abrir uma janela de comandos. 5-) No prompt de comando, execute os seguintes comandos: d: cd windows\system32 ren Utilman.exe Utilman.exe.old copy cmd.exe Utilman.exe 5-) Feche o prompt de comando e clique em "Reiniciar". 6-) O serv...
Postar um comentário
Leia mais