Linux est connu pour exiger un mot de passe pour faire quoi que ce soit au système central. C’est pour cette raison que beaucoup considèrent que Linux est un peu plus sûr que la plupart des systèmes d’exploitation (bien qu’il ne soit en aucun cas parfait). Avoir un mot de passe fort et une bonne politique de sudoer est génial, mais ce n’est pas infaillible, et parfois ce n’est pas suffisant pour vous protéger. C’est pourquoi de nombreux acteurs du domaine de la sécurité ont adopté l’authentification à deux facteurs sous Linux
Dans cet article, nous verrons comment activer l’authentification à deux facteurs sur Linux à l’aide de Google Authenticator.
Table des matières
Installation
L’utilisation de Google Authenticator est possible, grâce à un pam brancher. Utilisez ce plugin avec GDM (et d’autres gestionnaires de bureau qui le prennent en charge). Voici comment l’installer sur votre PC Linux.
Remarque: avant de configurer ce plugin sur votre PC Linux, veuillez vous rendre sur le Google Play Store (ou) App Store d’Apple et téléchargez Google Authenticator, car c’est un élément clé de ce didacticiel.
Ubuntu
sudo apt install libpam-google-authenticator
Debian
sudo apt-get install libpam-google-authenticator
Arch Linux
Arch Linux ne prend pas en charge le module d’authentification pam Google par défaut. Les utilisateurs devront à la place saisir et compiler le module via un package AUR. Téléchargez la dernière version de PKGBUILD, ou dirigez votre assistant AUR préféré dessus pour le faire fonctionner.
Feutre
sudo dnf install google-authenticator
OpenSUSE
sudo zypper install google-authenticator-libpam
Autres Linux
Le code source de la version Linux de Google Authenticator, ainsi que le plugin libpam utilisé dans ce guide sont facilement disponibles sur Github. Si vous utilisez une distribution Linux non traditionnelle, allez par ici et suivez les instructions sur la page. Les instructions peuvent vous aider à le compiler à partir des sources.
Configurer Google Authenticator sur Linux
Un fichier de configuration doit être modifié avant que pam ne fonctionne avec le plug-in d’authentification Google. Pour modifier ce fichier de configuration, ouvrez une fenêtre de terminal. À l’intérieur du terminal, exécutez:
sudo nano /etc/pam.d/common-auth
Dans le fichier common-auth, il y a beaucoup à regarder. Beaucoup de commentaires et de notes sur la manière dont le système doit utiliser les paramètres d’authentification entre les services sous Linux. Ignorez tout cela dans le fichier et faites défiler jusqu’à «# voici les modules par paquet (le bloc« principal »)». Déplacez le curseur en dessous avec la touche fléchée vers le bas et appuyez sur Entrée pour créer une nouvelle ligne. Ensuite, écrivez ceci:
auth required pam_google_authenticator.so
Après avoir écrit cette nouvelle ligne, appuyez sur CTRL + O pour enregistrer la modification. Appuyez ensuite sur CTRL + X pour quitter Nano.
Ensuite, revenez au terminal et saisissez « google-authentication ». Il vous sera ensuite demandé de répondre à quelques questions.
La première question posée par Google Authenticator est « Voulez-vous que les jetons d’authentification soient basés sur le temps ». Répondez «oui» en appuyant sur y sur le clavier.
Après avoir répondu à cette question, l’outil imprimera une nouvelle clé secrète, ainsi que quelques codes d’urgence. Notez ces codes, car c’est important.
Continuez et répondez aux trois questions suivantes par «oui», suivi de «non» et «non».
La dernière question posée par l’authentificateur concerne la limitation du débit. Ce paramètre, lorsqu’il est activé, fait en sorte que Google Authenticator n’autorise que 3 tentatives d’essais / échecs toutes les 30 secondes. Pour des raisons de sécurité, nous vous recommandons de répondre oui à cette question, mais il est parfaitement normal de répondre non si la limitation de débit ne vous tient pas à cœur.
Configurer Google Authenticator
Le côté Linux des choses fonctionne. Il est maintenant temps de configurer l’application Google Authenticator afin qu’elle fonctionne avec la nouvelle configuration. Pour commencer, ouvrez l’application et sélectionnez l’option «entrer une clé fournie». Cela fait apparaître une zone «entrer les détails du compte».
Dans cette zone, il y a deux choses à remplir: le nom du PC avec lequel vous utilisez l’authentificateur, ainsi que la clé secrète que vous avez notée précédemment. Remplissez les deux et Google Authenticator sera opérationnel.
Se connecter
Vous avez configuré Google Authenticator sur Linux, ainsi que votre appareil mobile et tout fonctionne ensemble comme il se doit. Pour vous connecter, sélectionnez l’utilisateur dans GDM (ou LightDM, etc.). Immédiatement après avoir sélectionné l’utilisateur, votre système d’exploitation vous demandera un code d’authentification. Ouvrez votre appareil mobile, accédez à Google Authenticator et entrez le code qui apparaît dans le gestionnaire de connexion.
Si le code réussit, vous pourrez alors saisir le code d’accès de l’utilisateur.
Remarque: la configuration de Google Authenticator sur Linux n’affecte pas uniquement le gestionnaire de connexion. Au lieu de cela, chaque fois qu’un utilisateur tente d’obtenir un accès root, d’accéder aux privilèges sudo ou de faire tout ce qui nécessite un mot de passe, un code d’authentification est requis.
Conclusion
Le fait d’avoir une authentification à deux facteurs directement connectée au bureau Linux ajoute une couche de sécurité supplémentaire qui devrait être présente par défaut. Avec cette option activée, il est beaucoup plus difficile d’accéder au système de quelqu’un.
Deux facteurs peuvent parfois être incertains (comme si vous êtes trop lent pour l’authentificateur), mais dans l’ensemble, c’est un ajout bienvenu à tout gestionnaire de bureau Linux.