Odcisk palca jest jednym z najczęstszych wpisów do autoryzacji. Wykorzystanie danych biometrycznych do autoryzacji potwierdza fizyczne istnienie osób za pomocą elementu, który jest z nimi stosunkowo nierozerwalny.
Ponadto dane biometryczne zapewniają bezpieczeństwo osobie, wykorzystując dane charakterystyczne dla prawie każdej osoby. Pomijając prawne ograniczenia wykorzystania danych biometrycznych, funkcje te podkreślają wykorzystanie odcisków palców w porównaniu z innymi narzędziami drugiego czynnika.
Oto jak skonfigurować skaner linii papilarnych w systemie Linux za pomocą PAM (Pluggable Authentication Modules).
Rzeczy do rozważenia dotyczące odcisków palców
Metoda odcisków palców nie jest najbezpieczniejszym wyborem spośród twoich opcji. Jest ku temu kilka powodów:
- Nie możesz zmienić swojego odcisku palca. W efekcie wzrasta znaczenie zapewnienia bezpieczeństwa tych danych.
- Ludzie zostawiają odciski palców w wielu miejscach, więc łatwo je zdobyć.
- Możliwe jest oszukanie systemów skanowania linii papilarnych. Chociaż zaawansowany sprzęt to utrudnia, nie jest to całkowicie niemożliwe.
- Skany linii papilarnych mogą nie identyfikować osoby. W szczególności zmiany fizyczne, takie jak urazy, mogą uniemożliwić skanowanie.
Z powyższych powodów warto wykorzystywać odciski palców jako trzeci czynnik lub tylko słaby dowód na fizyczne istnienie ludzi.
Dodanie uwierzytelniania odcisków palców do jedynego systemu chronionego hasłem zapewni większe bezpieczeństwo. Korzystanie z odcisków palców ma sens, zwłaszcza na urządzeniach z wbudowanym skanerem linii papilarnych, ponieważ koszt zrobienia tego jest prawie zerowy.
Konfigurowanie wymagań
Oczywiście potrzebujesz skanera linii papilarnych, aby dodać funkcję linii papilarnych do urządzenia z systemem operacyjnym GNU/Linux. Obecnie większość urządzeń ma czytniki linii papilarnych.
Jeśli masz skaner linii papilarnych, następnym krokiem jest instalacja fprintd pakiet w twoim systemie.
W systemach opartych na Debianie (Ubuntu, Mint itp.):
sudo apt-Dostawać zainstaluj fprintdUżytkownicy Arch Linux mogą zainstalować fprintd za pomocą Pacmana:
sudo pacman -S fprintdW systemach opartych na Red Hat (Fedora, CentOS itp.):
sudo mniam zainstalować fprintdPo instalacji będziesz mieć zainstalowany fprintd oraz wewnętrzny moduł PAM. Wprowadź następujące polecenie, aby rozpocząć skanowanie linii papilarnych:
fprintd-rejestracja-F[imię_palca]Musisz powiedzieć fprintd którym palcem skanujesz. W ten sposób możesz wiedzieć, o który palec prosi podczas skanowania. Prawidłowe nazwy palców to:
| Komenda | Nazwa palca |
| lewy kciuk | Lewy kciuk |
| lewy palec wskazujący | Lewy palec wskazujący |
| środkowy palec lewej ręki | Lewy środkowy palec |
| lewy palec serdeczny | Lewy palec serdeczny |
| lewy-mały palec | Lewy mały palec |
| prawy kciuk | Prawy kciuk |
| palec wskazujący prawej ręki | Prawy palec wskazujący |
| środkowy palec prawej ręki | Prawy środkowy palec |
| prawy palec serdeczny | Prawy palec serdeczny |
| prawy mały palec | Prawy mały palec |
W związku z tym przykładowe polecenie wprowadzenia lewego małego palca byłoby następujące:
fprintd-enroll -f lewy-mały palecNastępnie będziesz musiał zeskanować palec cztery razy, a jeśli się powiedzie, dodasz odcisk palca.
Korzystanie z urządzenia /net/reactivated/Fprint/Device/0
Zapisywanie palca małego palca lewej ręki.
Wynik rejestracji: enroll-stage-passed
Wynik rejestracji: enroll-stage-passed
Wynik rejestracji: enroll-stage-passed
Wynik rejestracji: enroll-stage-passed
Wynik rejestracji: rejestracja zakończonaAby przetestować powodzenie procesu, możesz uruchomić poniższe polecenie i odczytać swój palec:
fprintd-verify -f lewy-mały palecTwoje zarejestrowane odciski palców zostaną wyświetlone, a po zeskanowaniu wskazanego palca otrzymasz potwierdzenie.
Korzystanie z urządzenia /net/reactivated/Fprint/Device/0
Lista zarejestrowanych palców:
- #0: lewy mały palec
Sprawdź wynik: zweryfikuj dopasowanie (zrobione)Ustawienia PAM, które musisz zrobić
Jeśli chodzi o integralność danych i ochronę dóbr osobistych, PAM zyskuje coraz większe znaczenie w świecie cyberbezpieczeństwa. Kiedy złośliwi ludzie atakują urządzenie, wykorzystują ataki takie jak eskalacja uprawnień eksploatować urządzenie. Dlatego PAM stanowi środek ostrożności przed takimi atakami.
PAM to oprogramowanie odpowiedzialne za autoryzację użytkowników w systemach GNU/Linux. Możesz dostosować zachowanie PAM za pomocą plików konfiguracyjnych znajdujących się w folderze /etc/pam.d informator. Jeśli chcesz, możesz dostosować ustawienia PAM do swoich potrzeb.
Aby dodać uwierzytelnianie odciskiem palca do wszystkich logowań kontrolowanych przez PAM na urządzeniu, otwórz następujący plik z rozszerzeniem wybrany edytor tekstu:
sudo vim /etc/pam.d/common-authZobaczysz tekst podobny do następującego:
Pamiętaj, że jeśli na tym etapie wystąpi problem i włączysz blokadę ekranu, możesz nie być w stanie ponownie zalogować się do swojego urządzenia.
Dodaj następujący wiersz na końcu pliku:
autoryzacjawymaganypam_fprintd.WięcJeśli używasz Vima, wpisz :wq po naciśnięciu Ucieczka. Uderzyć Wchodzić po wpisaniu, Zapisz pliki wyjdź.
Po tym momencie system poprosi Cię o odcisk palca dla wszystkich procesów autoryzacji na Twoim urządzeniu.
Aby upewnić się, że wszystko jest w porządku i łatwo to naprawić, jeśli wystąpi problem, otwórz inny terminal z autoryzowanego terminala Sudo, który miałeś otwarty. Postępując zgodnie z powyższymi wskazówkami, wpisz:
sudo ls ~Twój system powinien poprosić Cię o podanie hasła i odcisku palca w celu autoryzacji sudo. Jeśli tak się nie stało lub pliki w katalogu domowym nie zostały pomyślnie wyświetlone, wróć i sprawdź, czy nie popełniłeś błędu w krokach.
Jeśli napotkasz problem, możesz zapobiec blokowaniu urządzenia, cofając i zapisując zmiany wprowadzone w pliku /etc/pam.d/common-auth plik z autoryzowanego terminala Sudo.
Jeśli pomyślnie przeszedłeś test, możesz teraz nieco bezpieczniej korzystać z urządzenia za pomocą odcisku palca.
Uwagi dotyczące użytkowników niebędących administratorami
Jeśli na urządzeniu jest więcej niż jeden użytkownik i tylko jeden użytkownik używa odcisku palca, możesz zmienić /etc/pam.d/common-auth konfigurację do następującej, aby tylko użytkownicy z konfiguracją odcisków palców potrzebowali drugiego czynnika. Jest to jednak krok, który należy dokładnie rozważyć, ponieważ wykluczy użytkownika root z 2FA:
autoryzacjawymaganypam_fprintd.WięcnullokJeśli chcesz zalogować się jako użytkownik root za pomocą odcisku palca, musisz powtórzyć powyższe kroki z użytkownikiem root.
Ochrona urządzenia z systemem Linux za pomocą odcisku palca
Odciski palców nie są łatwą przeszkodą dla złośliwych użytkowników w uzyskaniu dostępu do Twojego urządzenia. Dlatego też, jeśli podjąłeś wszelkie środki ostrożności w celu ochrony swojego urządzenia, możesz również skorzystać z mocy bezpieczeństwa odcisków palców. Nie należy jednak zapominać, że konfigurację odcisku palca należy wykonać krok po kroku poprawnie.
Skaner linii papilarnych, którego używasz, nie powinien Cię zawieść. Dlatego musisz ufać swojemu sprzętowi. Ponadto istnieją znacznie łatwiejsze metody zabezpieczenia urządzenia. Jednak odcisków palców nie należy lekceważyć.