2FA 登录 ubuntu 16.04 LTS
2FA login on ubuntu 16.04 LTS
我正在尝试在我的 ubuntu 机器上为登录实施 2FA,以提高安全性以及加密主文件夹。我选择使用 google 验证器 pam 模块,因为它也可以离线使用。我遵循了 google 的 GitHub 存储库 https://github.com/google/google-authenticator/blob/f2db05c52884e4d6c3894f5fd2cf10f0f686aec2/libpam/README.md 上的文档,但在我看来,您可以轻松绕过 MFA:
- 设置保存在 .google_authenticator 文件中
- 设置文件包含您的密钥,您可以使用该密钥将帐户添加到 google 身份验证器应用以接收 OTP 令牌
- .google_authenticator 文件必须位于加密文件夹之外,否则您将无法登录
- 因此,如果您直接引导至根 shell(恢复)。您可以从文件中获取密钥,从而绕过第二个因素。
因此我有以下问题:
- 我是否在 google 验证器设置中遗漏了什么?
- 是否有任何其他解决方案可以脱机工作并且不能轻易绕过?
therefore if you boot directly into a root shell (recovery)
这是有原因的,原因就是你上面说的->恢复。
因此,除了 2FA 的范围之外,您没有遗漏任何东西:是的,如果您可以直接访问服务器,它可以被绕过,但它可以很好地保护远程访问 (SSH)。不幸的是,没有办法禁止这样做。
我正在尝试在我的 ubuntu 机器上为登录实施 2FA,以提高安全性以及加密主文件夹。我选择使用 google 验证器 pam 模块,因为它也可以离线使用。我遵循了 google 的 GitHub 存储库 https://github.com/google/google-authenticator/blob/f2db05c52884e4d6c3894f5fd2cf10f0f686aec2/libpam/README.md 上的文档,但在我看来,您可以轻松绕过 MFA:
- 设置保存在 .google_authenticator 文件中
- 设置文件包含您的密钥,您可以使用该密钥将帐户添加到 google 身份验证器应用以接收 OTP 令牌
- .google_authenticator 文件必须位于加密文件夹之外,否则您将无法登录
- 因此,如果您直接引导至根 shell(恢复)。您可以从文件中获取密钥,从而绕过第二个因素。
因此我有以下问题:
- 我是否在 google 验证器设置中遗漏了什么?
- 是否有任何其他解决方案可以脱机工作并且不能轻易绕过?
therefore if you boot directly into a root shell (recovery)
这是有原因的,原因就是你上面说的->恢复。 因此,除了 2FA 的范围之外,您没有遗漏任何东西:是的,如果您可以直接访问服务器,它可以被绕过,但它可以很好地保护远程访问 (SSH)。不幸的是,没有办法禁止这样做。