Cách bảo mật Linux Ubuntu bằng xác thực hai yếu tố

Ngày nay cuộc chiến giữa các hacker và các chuyên gia an ninh thông tin diễn ra ngày một gay gắt. Theo một nghiên cứu do Cục Thống kê Lao động thực hiện, tỷ lệ tăng trưởng dự kiến cho ngành an ninh thông tin cao hơn nhiều so với tất cả các ngành nghề khác. Là những người ngoài cuộc vô tội, chúng ta có một vài biện pháp có thể thực hiện để ngăn cản những kẻ xấu xâm nhập vào máy tính.

Xác thực hai yếu tố (2FA) đã xuất hiện được khoảng một thời gian. Để xác định danh tính của người dùng, bạn cần phải thực hiện hai phương pháp xác thực. Thông thường phương pháp thứ nhất là tên người dùng và mật khẩu và thứ hai là mã xác minh được gửi tới thiết bị di động của bạn qua tin nhắn văn bản. Điều này có nghĩa là ngay cả khi mật khẩu của bạn bị đánh cắp, các hacker sẽ cần truy cập vào thiết bị di động của bạn để có thể hoàn toàn truy cập vào tài khoản.

Tuy nhiên cần phải cảnh giác với những cá nhân giả mạo các hãng di động thông báo đã "nhầm lẫn" thẻ SIM để có được quyền truy cập vào số điện thoại di động của bạn. Ngoài ra xác thực hai yếu tố cũng mở rộng ra ngoài việc xác minh tin nhắn văn bản. Hướng dẫn này sẽ giúp tăng cường thiết lập bảo mật trên cả máy tính để bàn và máy chủ Ubuntu, kết hợp với Google Authenticator để xác thực hai yếu tố.

• Vì sao không nên dùng tin nhắn SMS để xác thực hai yếu tố và lựa chọn thay thế là gì?

Lưu ý, việc thiết lập này có nghĩa là tất cả người dùng của hệ thống sẽ cần mã xác minh từ Google Authenticator khi:

• Đăng nhập vào hệ thống
• Chạy các lệnh sudo

Yêu cầu về phần mềm, ứng dụng:

• Ubuntu 16.04 (Máy tính để bàn hoặc máy chủ)
• Ứng dụng Google Authenticator (trên Google Play Store hoặc Apple App Store)

Cài đặt Google Authenticator

Như đã đề cập, chúng ta sẽ sử dụng Google Authenticator để trở thành tuyến phòng ngự thứ hai chống lại việc truy cập không chính đáng. Trước tiên cần tải ứng dụng này về điện thoại di động, thực hện các bước cài đặt giống như các ứng dụng khác. Hướng dẫn cài đặt dưới đây dành cho Android nhưng không khác biệt mấy khi cài đặt trên iOS.

Mở Google Play Store trên thiết bị Android của bạn và tìm kiếm Google authenticator. Bạn cần xác định đúng ứng dụng của Google Inc. Sau đó nhấn Install > Accept và chờ cho tiến trình cài đặt hoàn tất.

Tiếp theo, khởi động terminal trên máy tính để bàn hoặc máy chủ. Chạy lệnh sau:

sudo apt-get install libpam-google-authenticator

Khi được thông báo, nhập mật khẩu của bạn và nhấn Enter. Nếu có thông báo xuất hiện, gõ Y và nhấn Enter lần nữa, sau đó chờ quá trình cài đặt hoàn tất.

Cấu hình

Bây giờ bạn sẽ cần phải chỉnh sửa tệp để thêm xác thực hai yếu tố vào Linux. Chạy lệnh sau:

sudo nano /etc/pam.d/common-auth

Bên dưới bạn sẽ thấy dòng sau:

auth [success=1 default=ignore] pam_unix.so nullok_secure

Ngay trên dòng đó, hãy thêm lệnh sau

auth required pam_google_authenticator.so

Tệp của bạn sẽ như thế này:

Nhấn tổ hợp phím Ctrl + X và sau đó Y để lưu và đóng tập tin.

Thiết lập cho từng người dùng

Bước tiếp theo là liên kết tài khoản của bạn với Google Authenticator. Bước này sẽ chạy cho tất cả người dùng đăng nhập vào hệ thống của bạn. Ví dụ dưới đây là một người dùng duy nhất. Tuy nhiên, các bước sẽ giống hệt nhau đối với bất kỳ người dùng nào khác trên hệ thống của bạn.

Trong terminal chạy lệnh sau đây:

google-authenticator

Xem xét kỹ hơn, chúng ta sẽ thấy:

• Mã QR (QR code)
• Mã xác minh (verification code)
• Khóa bí mật (secret key) mới
• 5 mã số nhận dạng (scratch code) khẩn cấp

Mã QR và khóa bí mật thực hiện chức năng gần giống nhau. Mã xác minh là mã sử dụng một lần và bạn có thể sử dụng ngay lập tức nếu cần. Mã nhận dạng cũng là mã sử dụng một lần, bạn có thể sử dụng trong trường hợp không có thiết bị di động. Bạn có thể in ra và lưu trữ chúng trong trường hợp bạn quên hoặc mất thiết bị di động.

Bạn cũng sẽ phải trả lời một loạt các câu hỏi. Theo mặc định, có thể trả lời Y cho tất cả các câu hỏi đó, nhưng nếu muốn bạn có thể bạn có thể thay đổi chúng. Tuy nhiên, không được đóng cửa sổ hoặc terminal.

Thiết lập ứng dụng dành cho thiết bị di động

Trước khi tiếp tục với bất kỳ người dùng nào khác, hãy hoàn thành tài khoản hiện đang đăng nhập. Nếu đây là lần đầu tiên khởi chạy Google Authenticator trên thiết bị di động, hãy nhấp vào Begin. Ngoài ra, từ cửa sổ chính nhấp vào biểu tượng dấu cộng ở góc dưới cùng. Nếu độ phân giải trên cửa sổ terminal đủ để xem mã QR hãy chọn Scan a barcode hoặc Enter a provided key nếu máy ảnh thiết bị di động của bạn không tốt. Nếu chọn nhập khóa, bạn sẽ cần phải nhập tên tài khoản để giúp bạn nhớ tài khoản liên quan. Sau đó nhập khóa xác minh được cung cấp trong cửa sổ terminal. Bây giờ chỉ cần nhấn ADD.

Nếu thực hiện quét mã vạch, bạn sẽ không phải thực hiện các bước trên. Thiết bị di động và hệ thống của bạn giờ đây đã có thêm lớp bảo vệ. Cách duy nhất để hacker có thể xâm nhập vào hệ thống của bạn là lấy được mật khẩu và truy cập vào thiết bị di động mà bạn đã cấu hình.

Thêm tài khoản người sử dụng khác

Nếu muốn thêm người sử dụng hệ thống, bạn có thể thực hiện theo các bước sau. Ví dụ, ở đây sẽ thêm người dùng slaghoople, chạy lệnh sau đây trong cửa sổ terminal:

sudo su slaghoople

Mở ứng dụng Google Authenticator trên thiết bị di động, nhập mã xác thực gồm sáu chữ số mà ứng dụng đã cung cấp trong cửa sổ terminal. Nhập mật khẩu sudo của bạn và nhấn Enter. Bây giờ bạn phải đăng nhập với tài khoản người dùng mới, sau đó chạy lệnh sau:

google-authenticator

Bây giờ bạn có thể thực hiện theo các bước tương tự như cho tài khoản đầu tiên. Sau khi trả lời các câu hỏi, mở ứng dụng Google Authenticator, thêm tài khoản khác. Nhập slaghoople làm tên tài khoản để giúp bạn phân biệt giữa hai thiết bị di động của bạn. Chọn quét mã vạch hoặc nhập mã xác minh. Slaghoople bây giờ sẽ yêu cầu mã từ ứng dụng di động cùng với mật khẩu sudo để đăng nhập. Lặp lại các bước trên nếu bạn muốn thêm một tài khoản nữa. Một khi tất cả người dùng đã được thiết lập, bạn sẽ thấy rằng khi đăng nhập hoặc chạy lệnh sudo đều yêu cầu mã xác minh.

Bây giờ, máy Linux của bạn đã an toàn hơn trước. Hy vọng bài viết hữu ích đối với bạn và chia sẻ với bạn bè.

Chúc các bạn thực hiện thành công!