Ubuntu: Налаштування двофакторної автентифікації для безпечного доступу

За допомогою рішення Protectimus для багатофакторної автентифікації (MFA) ви можете налаштувати двофакторну автентифікацію (2FA) в Ubuntu за кілька кроків і надійно захистити облікові записи ваших користувачів Ubuntu від несанкціонованого доступу.

1. Як працює двофакторна автентифікація (2FA) для Ubuntu

Після налаштування двофакторної автентифікації в Ubuntu ваші користувачі будуть вводити два різні паролі автентифікації одночасно, щоб отримати доступ до своїх облікових записів Ubuntu:

1. Перший – це стандартний пароль (той, який користувач тримає в пам’яті);
2. Другий – тимчасовий пароль, дійсний лише 30 або 60 секунд (цей код генерується за допомогою 2FA-токену або 2FA-додатку на телефоні користувача – тобто за допомогою пристрою, яким користувач володіє і який повинен носити з собою).

Таким чином, обліковий запис Ubuntu стає захищеним двома різними факторами автентифікації. Навіть якщо хакер викраде одноразовий пароль за допомогою фішингу, брутфорсу, соціальної інженерії, підміни даних або будь-яким іншим способом, він не зможе отримати доступ до облікового запису Ubuntu без одноразового пароля з 2FA токена користувача.

У цій інструкції показано, як налаштувати двофакторну автентифікацію (2FA) в Ubuntu за допомогою компонента Protectimus RADIUS 2FA для інтеграції з хмарним сервісом або локальною платформою багатофакторної автентифікації Protectimus.

2. Як увімкнути двофакторну автентифікацію (2FA) в Ubuntu

Ви можете налаштувати двофакторну автентифікацію (2FA) в Ubuntu за допомогою Protectimus, використовуючи протокол RADIUS:

1. Зареєструйтеся в SAAS сервісі багатофакторної автентифікації або розгорніть On-Premise платформу MFA Protectimus, а потім налаштуйте базові параметри.
2. Встановіть та налаштуйте Protectimus RADIUS Server.
3. Налаштуйте параметри Ubuntu.

2.1. Зареєструйтеся та налаштуйте основні параметри Protectimus

1. Зареєструйтеся в хмарному сервісі Protectimus і активуйте API або встановіть локальну платформу Protectimus (якщо ви встановлюєте платформу Protectimus на Windows, не забудьте позначити опцію Radius).
2. Додайте ресурс.
3. Додайте користувачів.
4. Додайте Токени або активуйте Портал самообслуговування користувачів.
5. Призначте токени користувачам.
6. Призначте токени з користувачами на ресурс.

2.2. Встановіть та налаштуйте Protectimus RADIUS Server

Детальні інструкції щодо встановлення та налаштування Protectimus RADIUS Server доступні в Посібнику з встановлення та налаштування Protectimus RADIUS Server.

2.3. Налаштуйте параметри автентифікації Ubuntu

apt install libpam-radius-auth

vim /etc/pam_radius_server.conf

# server[:port]	shared_secret  	timeout (s)
127.0.0.1      	secret         	1

ВАЖЛИВО! Використовуйте IP-адресу вашої платформи замість 127.0.0.1

SSH

vim /etc/sshd/sshd_config

ChallengeResponseAuthentication yes

Локальна автентифікація + OTP через Protectimus

vim /etc/pam.d/ssh

# Standard Un*x authentication.
@include common-auth

auth	required	pam_radius_auth.so

Автентифікація + OTP через Protectimus

vim /etc/pam.d/ssh

# Standard Un*x authentication.
#@include common-auth

auth	required	pam_radius_auth.so

GUI

/etc/pam.d/gdm-password

auth required pam_radius_auth.so

Якщо у вас є запитання, зверніться до нашої служби підтримки.