Ubuntu autentificazione due fattori

[cavitillo]

Ciao a tutti, ho letto su questa guida l'autentificazione a due fattori per ubuntu. Secondo voi posso procedere dato che non vorrei incappare in errori e non poter più accedere al mio account.

[steff]

Non credo che vale la pena, se uno ha accesso al PC e vuole entrare gli basta una chiavetta con ubuntu (a meno che non hai il disco criptato).
Poi metti il caso perdi il telefono o viene rubato, devi almeno avere conservato la chiave per GA su un foglio.
Se la guida funziona non so, sembra seria. Non so se vale anche per l'accesso via tty (ctrl+alt+f3), sempre utile nel caso di problemi di grafica.

[cavitillo]

Non mi fido solo della robustezza della password di login dato il luogo in cui mi trovo. Conosci ad esempio un'applicazione che permetterebbe di fare il login tramite un'immagine salvata sullo smartphone o qualche altro metodo alternativo. Avrai capito che preferirei non digitare sempre la stessa password all'accesso di ubuntu anche se robusta.

[Stealth]

https://francoconidi.it/login-e-autenti ... -in-linux/

https://www.chimerarevo.com/guide/windo ... in-173588/

[lollo360]

Non so com'è la compatibilità con Ubuntu ma esistono in commercio dei lettori di impronte digitali USB che potrebbero comunque semplificarti la vita

[steff]

https://francoconidi.it/login-e-autenti ... -in-linux/

https://www.chimerarevo.com/guide/windo ... in-173588/

Queste guide (la prima del 2010) dovrebbero anche indicare la via se si perde o rombe la chiavetta USB. Meglio sarebbe una qualsiasi chiavetta con un file chiave dentro + il passwd normale.

Sembra che sia anche possibile di usare la smartcart:
https://blog.fkraiem.org/2013/03/13/lin ... cation-pam

Ma forse conviene di testare il metodo del primo post su un altro utente o in macchina virtuale, e specialmente come fare se qualcosa va storto per resettarlo.

[cavitillo]

https://francoconidi.it/login-e-autenti ... -in-linux/

https://www.chimerarevo.com/guide/windo ... in-173588/

Queste guide (la prima del 2010) dovrebbero anche indicare la via se si perde o rombe la chiavetta USB. Meglio sarebbe una qualsiasi chiavetta con un file chiave dentro + il passwd normale.

Sembra che sia anche possibile di usare la smartcart:
https://blog.fkraiem.org/2013/03/13/lin ... cation-pam

Ma forse conviene di testare il metodo del primo post su un altro utente o in macchina virtuale, e specialmente come fare se qualcosa va storto per resettarlo.

Non ho capito cosa intendi per file chiave dato che nelle guide non è riportato. Per quanto riguarda la chiavetta poi in una guida spiega che deve essere vuota nell'altra no, non so come procedere. Per prevenire qualche errore in una guida spiega che bisogna avere due shell aperte, quindi ogni volta che effettuo il login devo avere due shell aperte?

[steff]

Il file chiave potrebbe essere anche nel sistema stessa, o su una chiavetta ecc, viene usato de keepassxc , infatti lo trovo meglio che affidarmi a una chiavetta (e la sua integrità), come detto meglio un file chiave dentro una chiavetta ma non viene menzionato.

Nel frattempo ho provato su VM, ma con risultati strani. E la ubuntu 19.04 con sddm per il login, avevo impostato il login automatico e sono entrato senza codice, ma quando usavo sudo (per disabilitare il login automatico) me lo chiedeva e funzionava bene:

Codice: Seleziona tutto

ste@lubuntu:~$ sudo touch /tmp/test
Verification code: 
[sudo] password di ste: 
ste@lubuntu:~$ ls /tmp/test 
/tmp/test

Ma poi al login nessuna possibilità di dare il codice e in tty non funzionava, quindi bene testarlo su un altro utente prima.
EDIT: no, è attivo per tutti gli utenti, per disabilitarlo basta lanciare recovery > shell di root e cancellare la riga
aggiunta in /etc/pam.d/common-auth

Codice: Seleziona tutto

auth required pam_google_authenticator.so

PS: anche un altro utente creato adesso da recovery > root non entra più (senza codice)

Fazit: puoi tranquillamente provare il metodo con Google authenticator, se non hai settato un passwd per root puoi tornare indietro se non dovrebbe funzionare. Non ho capito perché non mi funziona, unico link trovato è questo senza risposta. Anche accedendo con una ubuntu live si può disabilitare la 2FA nello stesso modo

[cavitillo]

Se per effettuare il login volessi utilizzare il metodo con keepassxc come devo procedere? Grazie.

[steff]

Ho fatto una ricerca, sembra che non esiste questa possibilità.

[cavitillo]

Allora non mi resta altro che provare con la chiavetta e se un giorno dovesse rompersi procedere come consigliato qui https://francoconidi.it/login-e-autenti ... -in-linux/
Giusto? Il login con la chiavetta sai se é bypassabile con una live?

[steff]

No, come detto puoi anche provare il metodo 2FA con google auth, come dal primo link, paragonato alla chiavetta mi sembra più sicuro in quanto hai codici di recupero, puoi installare google auth anche su chromium in un altro pc volendo, per sicurezza.

Per la live o altro bypass:
a) ubuntu avviato in recovery mode permette di avere una shell di root, dalla quale si possono modificare i passwd degli utenti, modificare i file di configurazione e quant'altro.
b) con la live si possono fare le stesse cose, se il disco NON è criptato.

Quindi se vuoi essere blindato se uno ha accesso fisico alla macchina: settare un password molto robusto per root e usare la criptazione LUKS almeno per la home (tuoi file).