গুগল প্রমাণীকরণকারী ব্যবহার করে উবুন্টু ব্যবহারকারীদের জন্য কীভাবে উবুন্টুতে দুটি ফ্যাক্টর প্রমাণীকরণ সেটআপ করবেন?


11

কীভাবে গুগল প্রমাণীকরণকারী ব্যবহার করে উবুন্টু ব্যবহারকারীদের জন্য উবুন্টুতে দুটি ফ্যাক্টর প্রমাণীকরণ সেটআপ করবেন (এটি নন গুগল অ্যাকাউন্টগুলির জন্যও সেটআপ হতে পারে)?

উত্তর:


16

দ্রষ্টব্য: একবার আপনি কোনও ব্যবহারকারীর জন্য 2-গুণক প্রমাণীকরণ সক্রিয় করে রুটের জন্য একই সেট না করে রাখলে আপনি কখনই সরাসরি রুট হিসাবে লগইন করতে পারবেন না। এরকম ক্ষেত্রে একটি উপায় হল অন্য যে কোনও সুডো ব্যবহারকারীর জন্য আমাদের এটি সেটআপ করা আছে এবং তারপরে sudo su -রুট ব্যবহারকারীর কাছে যেতে ব্যবহার করা।


এটি সেট আপ করতে নীচের পদক্ষেপগুলি ব্যবহার করুন।

  1. গুগল প্রমাণীকরণ ইনস্টল করতে নীচে প্রদত্ত প্যাকেজটি ইনস্টল করুন যা আমরা পিএএম প্রমাণীকরণের সাথে একটি অ্যাড-অন হিসাবে ব্যবহার করব:

    sudo apt-get install libpam-google-authenticator
    
  2. এখন /etc/pam.d/sshdএই ফাইলটি সম্পাদনা করুন এবং নীচে প্রদত্ত গুগল প্রমাণীকরণকারী যুক্ত করুন:

    *sudo vim /etc/pam.d/sshd
    

    উপরে এই ফাইলটি নীচে লিখুন-

    auth required pam_google_authenticator.so
    
  3. এখানে /etc/ssh/sshd_configssh গুগল প্রমাণীকরণকারী ব্যবহার করে তা নিশ্চিত করতে আমাদের এখানে পরিবর্তন করতে হবে, আমরা নিশ্চিত করি যে এসএসএস দুটি ফ্যাক্টর প্রমাণীকরণ ব্যবহার করছে।

    vim /etc/ssh/sshd_config
    

    এই ফাইলটিতে আমাদের খুঁজে পেতে হবে ChallengeResponseAuthenticationএবং অসুবিধে করতে হবে এবং / অথবা নীচের মত দেখতে এটি সংশোধন করতে হবে (সংক্ষেপে এটি হ্যাঁ সেট করুন: পি):

    ChallengeResponseAuthentication yes
    

    অতিরিক্ত বা জিইউআই 2-ফ্যাক্টর প্রমাণীকরণ অন্যটি এড়িয়ে যান এবং 4 ধাপে যান: জিইউআই লগইনের জন্য এটি সক্ষম করতে, সম্পাদনা করুন /etc/pam.d/common-auth:

    sudo vim /etc/pam.d/common-auth
    

    এবং এখন auth required pam_google_authenticator.soলাইন উপরে এটি যুক্ত করুন auth [success=1 default=ignore] pam_unix.so nullok_secureতারপর ফাইল সংরক্ষণ করুন।

  4. এখন আপনি যে অ্যাকাউন্টটিতে সেট আপ করতে চান সেই অ্যাকাউন্টে পরিবর্তন করুন।
    ( দ্রষ্টব্য: আমি রুট অ্যাকাউন্টের চেয়ে সিস্টেমে কমপক্ষে দুটি সুপার ইউজার অ্যাকাউন্ট তৈরি করতে এবং কমপক্ষে এটি কনফিগার করার পরামর্শ দেব, যার মধ্যে প্রথমে রুট অ্যাকাউন্ট নয়))

    sudo su - testuser1
    
  5. এখন আমরা এর জন্য দ্বি-ফ্যাক্টর প্রমাণীকরণ সেট আপ করতে নীচের কমান্ডটি ব্যবহার করব testuser1:

    google-authenticator
    
  6. এই আদেশটি চালানো আপনাকে নীচে প্রশ্ন জিজ্ঞাসা করবে। (প্রস্তাবিত উত্তর হ্যাঁ)

    আপনি কী চান যে প্রমাণীকরণ টোকেন সময় ভিত্তিক (y / n) y হবে

  7. এর পরে এটি আপনাকে কিউআর কোড এবং জরুরী স্ক্র্যাচ কোডগুলি এবং অন্যান্য কয়েকটি বিশদ প্রদর্শন করবে। আউট পুট নীচের চিত্রের মতো দেখতে হবে:

    এখানে চিত্র বর্ণনা লিখুন

  8. উদাহরণস্বরূপ গুগল প্লে স্টোর সম্পর্কিত বাজারের জায়গা থেকে গুগল প্রমাণীকরণকারী অ্যাপ্লিকেশনটি ডাউনলোড এবং ইনস্টল করতে এখন আপনাকে আপনার অ্যান্ড্রয়েড / অ্যাপল / ব্ল্যাকবেরি ফোনটি ব্যবহার করতে হবে যা আপনার লগ ইন করার জন্য কোড উত্পন্ন করবে।

    নীচে অ্যাপ্লিকেশন আইকনটির স্ক্রিনশট এবং অ্যাপ্লিকেশন অ্যান্ড্রয়েড ফোন থেকে নেওয়া অ্যাপ্লিকেশন।

    এখানে চিত্র বর্ণনা লিখুন এখানে চিত্র বর্ণনা লিখুন

  9. আপনার ফোনে অ্যাপ্লিকেশনটি শুরু করুন এবং কিউআর কোডটি স্ক্যান করুন অথবা অন্যথায় সিস্টেমে QR কোডের নীচে দেওয়া গোপন কী এবং যাচাইকরণ কোড ব্যবহার করুন , যা আপনি উপরের প্রথম স্ক্রিনশটেও দেখতে পাবেন।

  10. এগুলি সব হয়ে গেলে আপনার জরুরী স্ক্র্যাচ কোডগুলি নিরাপদ স্থানে নোট করে সংরক্ষণ করা খুব গুরুত্বপূর্ণ , কারণ সেগুলি হ'ল কোডগুলি আপনাকে কোনওভাবে লক আউট করার ক্ষেত্রে আপনাকে সহায়তা করতে পারে।

  11. এই মুহুর্তে আপনার পর্দার নীচের দিকে একবার নজর দেওয়া উচিত যেখানে এটি আপনাকে নীচের প্রশ্ন জিজ্ঞাসা করছে। (প্রস্তাবিত উত্তর হ্যাঁ):

    আপনি কি চান যে আমি আপনার "/ home/testuser1/.google_authenticator" ফাইল (y / n) y আপডেট করব

  12. আবার এটি আপনাকে আরও একটি প্রশ্ন জিজ্ঞাসা করবে এবং নীচের প্রশ্নের জন্য প্রস্তাবিত উত্তরটি হ্যাঁ:

    আপনি কি একই প্রমাণীকরণ টোকেনের একাধিক ব্যবহারকে বাতিল করতে চান? এটি আপনাকে প্রতি 30 এর দশকে প্রায় এক লগইনে সীমাবদ্ধ করে, তবে এটি মধ্য-আক্রমণের মধ্যবর্তী আক্রমণগুলি (y / n) ওয়াইটি লক্ষ্য করা বা প্রতিরোধ করার সম্ভাবনাগুলি বাড়িয়ে তোলে

  13. পরবর্তী প্রশ্নটি নীচে দেওয়া হিসাবে দেওয়া হবে এবং এর জন্য প্রস্তাবিত উত্তর হ'ল:

    ডিফল্টরূপে, টোকেনগুলি 30 সেকেন্ডের জন্য ভাল এবং ক্লায়েন্ট এবং সার্ভারের মধ্যে সম্ভাব্য সময়সীমার জন্য ক্ষতিপূরণ দেওয়ার জন্য, আমরা বর্তমান সময়ের আগে এবং পরে অতিরিক্ত টোকেনকে অনুমতি দিই। আপনি যদি দুর্বল সময় সিঙ্ক্রোনাইজেশনে সমস্যা অনুভব করেন, আপনি উইন্ডোটির ডিফল্ট আকার 1: 30 মিনিট থেকে প্রায় 4 মিনিটে বাড়িয়ে নিতে পারেন। আপনি কি এটি করতে চান (y / n) এন

  14. এবং শেষ প্রশ্নটি নীচে দেওয়া হিসাবে দেওয়া হবে এবং এর জন্য প্রস্তাবিত উত্তর হ্যাঁ:

    আপনি যে কম্পিউটারটিতে লগ ইন করছেন সেটিকে যদি ব্রুট-ফোর্স লগইন প্রচেষ্টাগুলির বিরুদ্ধে শক্ত না করা হয় তবে আপনি প্রমাণীকরণ মডিউলটির জন্য হার-সীমাবদ্ধ করতে সক্ষম করতে পারেন। ডিফল্টরূপে, এটি আক্রমণকারীদের প্রতি 30s এ 3 টির বেশি লগইন প্রচেষ্টা সীমাবদ্ধ করে না। আপনি কি হার-সীমাবদ্ধকরণ (y / n) y সক্ষম করতে চান?

  15. রুট অ্যাকাউন্টে ফিরে যেতে এখন এই অ্যাকাউন্ট থেকে প্রস্থান স্যুইচ করুন:

    exit
    
  16. এখন ssh পরিষেবাটি পুনরায় চালু করুন

    service ssh restart
    

এখন আপনি যে ব্যবহারকারীর জন্য এটি সেট আপ করেছেন তার জন্য কেবল একটি ssh অধিবেশন গ্রহণ করুন এবং এটি প্রথমে আপনাকে একটি যাচাইকরণ কোডের জন্য জিজ্ঞাসা করবে যা আপনি আপনার মোবাইল থেকে প্রবেশ করতে পারেন এবং তারপরে এটি ব্যবহারকারীর পাসওয়ার্ডের জন্য জিজ্ঞাসা করবে।

এখানে চিত্র বর্ণনা লিখুন

দুটি ফ্যাক্টর প্রমাণীকরণ সেটআপ করার জন্য এটি প্রয়োজনীয়। উত্তরটি যেখানে প্রয়োজন প্রয়োজন উন্নত করতে দয়া করে নির্দ্বিধায় এবং দয়া করে এত ভাল ভাষা না বলে আমাকে ক্ষমা করুন।


আমি যখন এটি আনইনস্টল করি, যখনই আমি sudo: sudo: PAM প্রমাণীকরণের ত্রুটি: মডিউলটি অজানা
বাগস্ট্রিস 20:56

@ ব্যাগাস্ট্রিস আপনি "/etc/pam.d/common-auth" ফাইলটি সম্পাদনা করবেন এবং "এথু প্রয়োজনীয় পাম_গুগল_আউথেনটিকেটর.সো" এই এন্ট্রিটি সরিয়ে ফেলবেন। আপনি এটি আনইনস্টল করার পরে।
হরিশ

/etc/pam.d/common-auth সম্পাদনা করতে, এটি সুডোর প্রয়োজন। যেহেতু সুডো আর কাজ করছে না, আমার লাইভ ওএসের প্রয়োজন (বা আমার ক্ষেত্রে, কারণ আমি ম্যাক ওএসের সাথে দ্বৈত বুট করি, আমি এটি লিখিতযোগ্য অনুমতি সেট সহ ওএস এক্স থেকে সম্পাদনা করতে পারি)।
ব্যাগস্ট্রিস

1
@ ব্যাগাস্ট্রিস আপনি পুনরুদ্ধার মোডে গিয়ে এটি করতে পারেন।
হরিশ

1
দ্বিতীয় পদক্ষেপের auth optionalপরিবর্তে যদি আমরা ব্যবহার করি তবে মেশিনে অ্যাক্সেস না করা নিরাপদ auth required। অন্যথায় সেশন ক্র্যাশ হয়ে গেলে এবং প্রক্রিয়া শেষ না হলে লগইন আর সম্ভব হয় না।
পাস্কাল
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.