Google桌面身份验证器（lightdm或gdm插件）

曾经有过类似的问题，但这并不是我想要的。

我想知道是否有lightdm或gdm的插件或附件，可以让我使用密码和Google身份验证器进行身份验证。我说的是要在桌面登录名中输入您的GA代码-GUI或命令行，shell登录-以便访问本地桌面。

看一下这篇标题为：台式机上的Google两步验证的博客文章。这是什么？

安装

sudo apt-get install libpam-google-authenticator

用法

google-authenticator

根据博客文章，有一个lightdm-kde版本，其中包含2因子身份验证，当您将包含的PAM模块添加到环境中时可以利用Google Authenticator。

auth required pam_google_authenticator.so

导致您的GUI登录如下所示：

来源在这里

安装

像这样安装Google Authenticator PAM模块：

sudo apt-get install libpam-google-authenticator

现在，google-authenticator为要与Google Authenticator一起使用的每个用户（在终端内）运行，并按照说明进行操作。您将获得QR码以使用智能手机（或链接）进行扫描，并输入紧急代码。

组态

要激活Google Authenticator，请查看目录/etc/pam.d/。每种方法都有一个文件，可用来验证您的计算机。您需要编辑要与Google Authenticator一起使用的每项服务的配置文件。如果要通过SSH使用它，请编辑sshd，如果要在LightDM中使用它，请编辑lightdm。在这些文件中，添加一个以下行：

auth required pam_google_authenticator.so nullok
auth required pam_google_authenticator.so

在您仍将用户迁移到Google Authenticator时，请使用第一行。没有配置它的用户仍然可以登录。第二行将强制使用Google Authenticator。没有它的用​​户将无法登录。对于sshd，将行放置在文件的顶部非常重要，以防止对密码进行暴力攻击。

要将其添加到LightDM，可以运行以下命令：

echo "auth required pam_google_authenticator.so nullok" | sudo tee -a /etc/pam.d/lightdm

现在，当您登录时，将分别询问您的密码和两步验证码。

加密的主目录

如果您使用家庭加密（ecryptfs），则$ HOME / .google_authenticator文件对于PAM模块将不可读（因为它仍处于加密状态）。在这种情况下，您需要将其移动到其他地方，并告诉PAM在哪里找到它。可能的行如下所示：

auth required pam_google_authenticator.so secret=/home/.ga/${USER}/.google_authenticator

您需要为/home/.ga中的每个用户创建一个具有用户名的目录，并将该目录的所有权更改为该用户。然后，用户可以运行google-authenticator并将创建的.google-authenticator文件移动到该目录。用户可以运行以下行：

sudo install -g $(id -rgn) -o $USER -m 700 -d /home/.ga/$USER
google-authenticator
mv $HOME/.google_authenticator /home/.ga/$USER

这将允许模块访问文件。

有关其他选项，请查看自述文件。

之前在上文所述的ssh上使用“两因素”身份验证仍然使您的系统处于开放状态，容易受到密码的暴力攻击。那可能已经危害了第一个因素：您的密码。所以我个人决定不添加以下行的底部，但在顶部的的/etc/pam.d/sshd文件，如以前未注意到克利：

auth required pam_google_authenticator.so

这将首先提示您输入验证码，然后提示您输入密码（无论您输入的验证码是否正确）。使用此配置，如果您输入的验证码或密码错误，则必须再次输入两者。我同意这有点麻烦，但是嘿：您想要安全还是只是一种安全感？