La guerre toujours présente entre les pirates informatiques malveillants et les professionnels de la sécurité de l'information continue. Selon une étude menée par le Bureau of Labor Statistics, le taux de croissance prévu pour les emplois dans le domaine de la sécurité de l'information est beaucoup plus élevé que pour toutes les autres professions. En tant que spectateurs innocents, nous pouvons prendre quelques mesures pour décourager les méchants.
L'authentification à deux facteurs (2FA) existe depuis un certain temps déjà. Il nécessite que deux méthodes d'authentification soient utilisées afin de vérifier l'identité d'un utilisateur. Cela comprend généralement le nom d'utilisateur et le mot de passe habituels, ainsi qu'un code de vérification envoyé à votre appareil mobile par SMS. Cela signifie que même si votre mot de passe a été compromis (comment renforcer vos mots de passe), le pirate malveillant aura besoin d'accéder à votre appareil mobile pour obtenir un accès complet à votre compte.
Il y a des rapports d'individus malveillants se faisant passer pour des opérateurs de téléphonie mobile et prétendant avoir "égaré" leurs cartes SIM afin d'avoir accès au numéro de téléphone portable d'une victime. Cela prouve qu'il y a encore place à l'amélioration, mais 2FA va également au-delà d'une vérification par SMS. Ce guide vous aidera à configurer une sécurité renforcée sur les versions de serveur et de bureau Ubuntu, en conjonction avec Google Authenticator pour une authentification à deux facteurs.
Cette configuration signifie que tous les utilisateurs du système auront besoin du code de vérification de Google Authenticator lorsque :
Bien que le compromis ici soit le temps, la couche de sécurité supplémentaire peut être vitale. Surtout sur les machines qui hébergent des données sensibles. Ce guide utilisera :
Comme nous l'avons vu, nous utiliserons Google Authenticator comme deuxième ligne de défense contre les accès injustifiés. Commençons par la partie mobile de l'équation. Les étapes d'installation sont exactement comme l'installation de n'importe quelle autre application. Les étapes d'installation ci-dessous concernent le Google Play Store, mais elles ne devraient pas différer dans l'App Store d'Apple.
Ouvrez le Google Play Store sur votre appareil Android et recherchez google authentication . Localisez et appuyez sur l'entrée correcte, en veillant à ce qu'elle soit publiée par Google Inc. Appuyez ensuite sur Installer , et Accepter lorsque vous y êtes invité, et attendez la fin de l'installation.
Ensuite, lancez une session de terminal sur votre bureau ou votre serveur.
Exécutez la commande suivante :
sudo apt-get install libpam-google-authenticator Lorsque vous y êtes invité, saisissez votre mot de passe et appuyez sur Entrée . Si vous y êtes invité, saisissez Y et appuyez sur Entrée à nouveau, puis asseyez-vous et laissez l'installation se terminer
Vous devrez maintenant éditer un fichier pour ajouter une authentification en deux étapes à votre précieuse boîte Linux. Exécutez la commande suivante :
sudo nano /etc/pam.d/common-auth Non loin de là, cherchez la ligne qui dit :
auth [success=1 default=ignore] pam_unix.so nullok_secure Juste au-dessus de cette ligne, ajoutez ce qui suit :
authentification requise pam_google_authenticator.so Votre fichier devrait ressembler à ceci :
Appuyez sur Ctrl + X suivi de Y pour enregistrer et fermer le fichier.
La prochaine étape liera enfin votre compte à Google Authenticator. Cette étape devra être exécutée pour tous les utilisateurs qui se connectent à votre système. Notre exemple n'a qu'un seul utilisateur, makeuseof . Cependant, les étapes seront identiques pour tout autre utilisateur de votre système.
Dans votre terminal, exécutez ce qui suit :
google-authentificateur En examinant de plus près ce qui est fourni, nous constatons :
Le code QR et la clé secrète remplissent à peu près la même fonction. Nous y reviendrons dans un instant. Le code de vérification est un code à usage unique que vous pouvez utiliser immédiatement, si nécessaire. Les codes à gratter sont des codes à usage unique qui peuvent être utilisés si vous n'avez pas votre appareil mobile à portée de main. Vous pouvez les imprimer et les stocker sous clé thermonucléaire, ou simplement les ignorer. En fin de compte, cela dépendra de votre tendance à oublier ou à perdre votre appareil mobile.
Une série de questions vous sera également posée. Les valeurs par défaut sont plus que suffisantes et vous pouvez répondre Y à tous. Cependant, n'hésitez pas à les modifier comme vous le souhaitez. Ne fermez pas la fenêtre ou la session de terminal pour l'instant.
Avant de continuer avec un autre utilisateur, complétons celui avec lequel vous êtes actuellement connecté.
Si c'est la première fois que vous lancez Google Authenticator sur votre appareil mobile, cliquez sur Commencer . Sinon, à partir de la fenêtre principale, cliquez sur l'icône plus dans le coin inférieur. Si la résolution de la fenêtre de votre terminal est suffisamment bonne pour voir le code QR, sélectionnez Scanner un code-barres ou Entrez une clé fournie si la caméra de votre appareil mobile ressemble à une pomme de terre. Si vous avez choisi d'entrer une clé, vous devrez maintenant entrer un nom de compte pour vous aider à vous rappeler à quel compte cela se rapporte. Ensuite, entrez la clé de vérification fournie dans la fenêtre de votre terminal. Maintenant, appuyez simplement sur AJOUTER .
La numérisation de votre code-barres effectuera ces trois étapes simultanément. Et voila ! Votre appareil mobile et votre système disposent désormais d'une couche de protection supplémentaire. La seule façon possible pour une personne mal intentionnée d'accéder à votre système est de déchiffrer votre mot de passe et d'accéder à l'appareil mobile que vous avez configuré.
Vous pouvez avoir plusieurs personnes utilisant ce système particulier. Dans notre exemple, slaghoople est un utilisateur supplémentaire. Exécutez ce qui suit dans votre session de terminal :
sudo su slaghoople Ouvrez l'application Google Authenticator sur votre appareil mobile. Tapez le code d'authentification à six chiffres fourni par l'application dans la fenêtre du terminal. Entrez votre mot de passe sudo et appuyez sur Entrée. Vous devriez maintenant être connecté. En tant que nouvel utilisateur, lancez la commande suivante :
google-authentificateur Vous pouvez maintenant simplement suivre exactement les mêmes étapes que celles que nous avons suivies pour le premier utilisateur décrit ci-dessus. Après avoir répondu aux questions, ouvrez votre application mobile Google Authenticator. Ajoutez un autre compte. Entrez slaghoople comme nom de compte pour vous aider à différencier les deux sur votre appareil mobile. Choisissez de scanner le code-barres ou de saisir la clé de vérification. Slaghoople exigera désormais le code de l'application mobile ainsi que son mot de passe sudo pour se connecter et émettre des commandes élevées. Rincez et répétez pour tous les utilisateurs supplémentaires. Une fois que tous vos utilisateurs ont été configurés, vous remarquerez qu'essayer de se connecter ou d'exécuter des commandes sudo nécessite un code de vérification.
Et c'est tout. Votre machine Linux est maintenant beaucoup plus sécurisée qu'elle ne l'était auparavant. Certains diront que ce processus est un problème. Bien sûr que ça l'est ! C'est le but !
Votre mot de passe a-t-il été divulgué et un système a-t-il été compromis ? Comment sécurisez-vous vos données sensibles ? Utilisez-vous actuellement l'authentification à deux facteurs ? Faites-le nous savoir dans les commentaires !
Crédit d'image :photo numérique de Dave Clark via Shutterstock.com