سنشرح في هذا المقال تأمين تسجيل الدخول إلى sudo لنظام التشغيل عن طريق تثبيت وتمكين أداة مصادقة ثنائية تسمى Google Authenticator PAM module على Ubuntu 22.04 LTS Jammy JellyFish.
يتم عادةً تأمين وحماية الحساب بأساليب تسجيل الدخول باسم المستخدم وكلمة المرور، لكن لإضافة طبقة من الحماية، يمكننا استخدام 2FA (طريقة المصادقة الثنائية). إذ يضمن ذلك عدم تمكن المستخدم من تسجيل الدخول بدون توفير رمز أمان إضافي.
ما هي المصادقة الثنائية؟
التوثيق الثنائي -المصادقة ذات العاملين- والمعروفة أيضًا باسم المصادقة الثنائية 2FA أو المصادقة ثنائية الاتجاه هي طريقة تتيح للمستخدم التعريف عن نفسه لمزود خدمة عبر استخدام أسلوبين مختلفين للتوثيق معًا –في ذات جلسة العمل– ويمكن أن تكون هذه الأساليب شيئًا يعرفه المستخدم (مثل كلمة سر أو رقم تعريف شخصي PIN) أو يملكه (مثل هاتف محمول أو جهاز دخول آمن) أو معلقاً به أو لا يمكن فصله عنه (مثل بصمات الأصابع).
وهذا يسمح بتقليل مخاطر سرقة البيانات. فإذا كنت ترغب في تسجيل الدخول إلى حسابك على جهاز جديد، ستحتاج إلى رمز ثانٍ بالإضافة إلى كلمة مرور الحساب التي اخترتها بنفسك لتأكيد تسجيل الدخول.
لتمكين المصادقة الثنائية على Ubuntu، يمكننا استخدام أداة بسيطة تُعرف باسم Google Authenticator، حيث يُنشئ التطبيق رمزًا على هاتفنا الذكي يجب علينا إدخاله عند تسجيل الدخول إلى حساب نظامنا.
خطوات تمكين Google Authenticator 2FA على Ubuntu 22.04 LTS Jammy
لا تقتصر الخطوات الواردة في هذا الشرح على Ubuntu Jammy، إذ يمكننا استخدامها للإصدارات القديمة من Ubuntu مثل 20.04 Focal أو 18.04 Bionic. بما في ذلك توزيعات Linux الأخرى مثل Debian و Linux Mint و Elementary OS و POP_OS وغيرها.
هذه الخطوة التي نكررها دائمًا عند تثبيت تطبيقات جديدة؛ تحديث النظام لإعادة إنشاء ذاكرة التخزين المؤقت cach لفهرس حزمة APT:
sudo apt update
ننتقل الآن إلى هاتفك الذكي العامل بنظام Android أو iOS. افتح متجر التطبيقات، ابحث عن تطبيق Google Authenticator في متجرك وقم بتثبيته.
لدمج نظامك مع تطبيق Google Authenticator حتى يتمكن من إنشاء الرموز اللازمة لأداء المصادقة الثنائية أثناء تسجيل الدخول إلى النظام، قم بتشغيل الأمر التالي:
google-authenticator
باختيار y سيقوم بتشكيل رمز الاستجابة السريعة ” QR Code” الخاص بك كما يلي على سبيل المثال:
الآن، افتح تطبيق Google Authenticator على هاتفك الذكي. اضغط على أيقونة + الموجودة في الجانب السفلي الأيمن. ومن ثم مسح رمز QR الظاهر في نافذة محرر الأوامر أو الرابط الموجود أعلاه (في حالة المتصفح).
ستتم إضافة حساب حاسب أبونتو هذا إلى تطبيق Google Authenticator، وسيولّد لك رمزًا خاصًا جديدًا في كل مرة تريد تسجيل الدخول بعد إدخال كلمة المرور الاعتيادية.
يتيح لك Google Authenticator بمجرد الانتهاء من التأكيد مجموعة “رموز خاصة للطوارئ“، احتفظ بها في مكان آمن. فقد تحتاجها في حالة عدم الوصول لسبب ما إلى Google Authenticator (GA) ورموز المصادقة الثنائية الخاصة به في حال حدوث عطل أو فقدان للهاتف على سبيل المثال وتحتاج الدخول إلى حساب Ubuntu الخاص بك لاسترداده. وعلى عكس رموز GA، لن تنتهي صلاحية الرموز الاحتياطية هذه.
بشكل افتراضي، لن يطلب المستخدم رمز المصادقة الثنائية. لتمكينه، يتعين علينا إجراء بعض الإعدادات اليدوية كما يلي عبر محرر nano أو gedit مثلاً:
sudo gedit /etc/pam.d/common-auth
سنضيف السطرين التاليين للملف إلى السطور الأخيرة للملف كما في الصورة -السطرين 28 و 29- في مثالنا:
auth required pam_google_authenticator.so nullok auth required pam_permit.so
للاختبار: قم بتسجيل الدخول إلى بعض المستخدمين باستخدام sudo الذي تم تمكينه لاستخدام رموز 2FA التي تم إنشاؤها بواسطة تطبيق Google Authenticator.
وسواءً من محرر الأوامر أو عند تسجيل الدخول لأول مرة لسطح المكتب، ستحتاج بعد إدخال كلمة المرور الأساسية إلى إضافة رمز التحقق “Verification code” المولّد بواسطة Google Authenticator.
حذف أو تعطيل المصادقة الثنائية
يمكن ببساطة تعطيل أو حذف المصادقة الثنائية عبر الأمر التالي:
sudo rm /home/user/.google_authenticator
ما عليك سوى استبدال “user” باسم المستخدم الخاص بك.
يمكن أيضا تحرير الملف /etc/ssh/sshd_config. ومن ثم البحث عن السطر التالي وحذف “keyboard-interactive”
AuthenticationMethods publickey,keyboard-interactive
ليصبح كما يلي:
AuthenticationMethods publickey
ومن ثم تمرير الأمر التالي:
sudo systemctl restart ssh
ملحق النصائح:
- اذا كنت بحاجة للمصادقة الثنائية، احتفظ دائمًا بالرموز الاحتياطية. فرغم أن المصادقة الثنائية مفيدة وترفع مستوى الأمان. إلا أن لها مخاطرها؛ مثل فقدان الجهاز الذكي أو تعطله. هذا سيجعلك عاجزًا عن تسجيل الدخول دون الاستعانة بالرموز الاحتياطية.
- لا ينصح باستخدام رسائل SMS في عملية المصادقة الثنائية. في الحقيقة إن هذه الرسائل يمكن أن تكون مكشوفة لشركات الهاتف أو مزودي خدمات الاتصال، أو حتى لشخصٍ خبير يمتلك الأدوات المناسبة
