Comment configurer 2FA pour les connexions de bureau Linux pour une sécurité supplémentaire

Si vous souhaitez ajouter une couche supplémentaire de sécurité à votre système d'exploitation de bureau Linux, cela peut être fait en quelques minutes.

Par conception, Linux est à peu près aussi sécurisé un système d'exploitation que vous le trouverez. Cependant, ce niveau de sécurité ne signifie pas qu'il n'y a pas de mesures que vous pouvez prendre pour la rendre plus sécurisée.

Une chose que vous pouvez faire est d'activer l'authentification à deux facteurs (2FA) pour les connexions de bureau. Avec cette fonctionnalité ajoutée au processus, vous appuyez sur un code à six chiffres que vous récupérez à partir d'une application Authenticatrice sur votre téléphone pour vous connecter aux services et à votre mot de passe utilisateur.

Croyez-le ou non, 2FA est assez facile à installer. Je dirais cependant que vous essayez cette approche sur une machine de test. Vous ne voulez pas être verrouillé de votre bureau principal, car, si cela se produit, cela peut être un cauchemar à résoudre.

Cela dit, permettez-moi de vous montrer comment configurer 2FA.

Installation du logiciel pour 2FA

Ce dont vous aurez besoin: Pour que cette approche fonctionne, vous aurez besoin d'une instance en cours d'exécution de Linux. Je vais démontrer avec Zorin OS, qui est une distribution basée sur Ubuntu. Avec une distribution Fedora ou Arch, modifiez la commande d'installation (échangeant APT pour DNF ou PACMAN). Vous aurez également besoin d'une application Authenticator (comme Authy ou Google Authenticator) installée sur votre téléphone mobile.

Cela dit, installons certains logiciels.

1. Ouvrez votre fenêtre de terminal

La première chose à faire est de se connecter à votre distribution Linux et d'ouvrir la fenêtre du terminal.

2. Installer Google Authenticator

Dans l'application Terminal, installez le logiciel nécessaire avec la commande:

sudo apt-get install libpam-google-authenticator -y

3. Configurez la connexion

Ouvrez le fichier de configuration nécessaire avec la commande:

sudo nano /etc/pam.d/common-auth

Au bas du fichier, ajoutez ce qui suit:

Auth exigé PAM_GOOGLE_AUTHENTICATAT

Enregistrer et fermer le fichier.

Maintenant, avant de vous déconnecter et de tester le logiciel, je vous recommande de sécuriser le shell dans la machine et de laisser la connexion ouverte jusqu'à ce que vous soyez certain que cela fonctionne. Si le système ne fonctionne pas, vous êtes toujours connecté et vous pouvez dépanner. Heureusement, la configuration ci-dessus a fonctionné parfaitement pour moi.

4. Exécutez Google Authenticator

À partir du terminal, émettez la commande:

Google-authenticteur

Un code QR apparaîtra dans le terminal. Ouvrez l'application Authenticator sur votre appareil mobile et ajoutez un nouveau compte en scannant le code QR (la façon dont vous faites cela dépendra de l'application que vous utilisez). Une fois l'analyse terminée, il vous sera demandé de taper le code à six chiffres de l'application dans la fenêtre Terminal Linux.

Vous serez présenté avec quelques codes "Scratch" d'urgence. Assurez-vous de sauvegarder ces codes (à utiliser si vous perdez votre téléphone).

On vous pose les questions suivantes:

  • Voulez-vous que je mette à jour votre fichier "/home/jack/.google_authenticator"? (O/N) Y
  • Voulez-vous interdire plusieurs utilisations du même jeton d'authentification? Cela vous limite à une connexion environ toutes les années, mais cela augmente vos chances de remarquer ou même d'empêcher des attaques d'homme dans le milieu? (O/N) Y
  • Par défaut, un nouveau jeton est généré toutes les 30 secondes par l'application mobile. Afin de compenser le temps éventuel entre le client et le serveur, nous permettons un jeton supplémentaire avant et après l'heure actuelle. Cela permet une surface temporelle jusqu'à 30 secondes entre le serveur d'authentification et le client. Si vous rencontrez des problèmes avec une mauvaise synchronisation du temps, vous pouvez augmenter la fenêtre de sa taille par défaut de 3 codes autorisés (un code précédent, le code actuel, le code suivant) à 17 codes autorisés (les 8 codes précédents, le code actuel et les 8 codes suivants). Cela permettra une surface de temps allant jusqu'à 4 minutes entre le client et le serveur. Voulez-vous le faire? (O/N) Y
  • Si l'ordinateur dans lequel vous vous connectez n'est pas durci par rapport aux tentatives de connexion à force brute, vous pouvez activer la limitation de taux pour le module d'authentification. Par défaut, cela limite les attaquants à pas plus de 3 tentatives de connexion toutes les années 30. Voulez-vous activer la limitation de débit? (O/N)

Assurez-vous de répondre "Y" à toutes les questions.

Avec ces étapes prises en charge, vous pouvez désormais redémarrer le système. Lorsque vous vous connectez, on vous demandera votre mot de passe utilisateur et le code à six chiffres de l'application Authenticator sur votre téléphone mobile.

Une chose à garder à l'esprit est que ce processus ne fonctionne que pour la connexion de bureau. Activer 2FA pour la connexion SSH est un processus différent, que je vais vous guider dans un mode d'emploi séparé.

Félicitations, votre bureau Linux est désormais légèrement plus sécurisé.