2FA Login auf Ubuntu 16.04 LTS

Question

Ich versuche 2FA für Logins auf meinem Ubuntu-Rechner zu implementieren, um die Sicherheit zusammen mit einem verschlüsselten Home-Ordner zu erhöhen. Ich habe mich entschieden, das Google Authenticator Pam-Modul zu verwenden, da dies auch offline funktioniert. Ich habe die Dokumentation auf Googles GitHub-Repository gefolgt https://github.com/google/google-authenticator/blob/f2db05c52884e4d6c3894f5fd2cf10f0f686aec2/libpam/README.md aber es scheint mir, dass Sie bequem die MFA By-Pass kann als:

• die Einstellungen in einer Datei .google_authenticator
• die Einstellungen werden gespeichert Datei enthält Ihre geheimen Schlüssel, dass Sie das Konto der google Authenticator App hinzufügen können OTP-Token erhalten
• die .google_authenticator Datei als sonst außerhalb des verschlüsselten Ordner sitzen müssen Sie nicht
• daher anmelden können, wenn Sie direkt in eine booten Root-Shell (Wiederherstellung). Sie können den geheimen Schlüssel aus der Datei erhalten und somit den zweiten Faktor umgehen.

Deshalb habe ich folgende Fragen:

• bin ich etwas in der Google Authenticator Set-up fehlt?
• Gibt es andere Lösungen, die offline arbeiten und nicht so einfach umgangen werden können?

Answer 1

daher, wenn Sie direkt in eine Root-Shell (Recovery) starten

Es gibt einen Grund dafür, und der Grund ist, wie Sie bereits erwähnt -> Erholung. Also, Sie verpassen nichts, außer den Umfang von 2FA: Ja, es kann umgangen werden, wenn Sie direkten Zugriff auf den Server haben, aber es sichert Remote-Zugriff (SSH) völlig in Ordnung. Leider gibt es keine Möglichkeit, das zu verbieten.