悪意のあるハッカーと情報セキュリティーの専門家の戦いは続いています。労働統計局の調査によると、情報セキュリティの仕事は、他のすべての産業よりもはるかに高い割合で成長すると予想されています。無実の傍観者として、悪人を止めるためにできることがあります。

二要素認証（2FA）は以前から存在する。ユーザーの身元を確認するために、2つの認証方法を必要とします。これは通常、通常のユーザー名とパスワード、そしてモバイル端末にSMSで送信される認証コードで構成されています。つまり、パスワードが漏洩しても（パスワードをより強固にする方法）、いたずら好きのハッカーがあなたのアカウントにフルアクセスするためには、あなたのモバイルデバイスにアクセスする必要があるのです。

携帯電話会社を装った悪質な人物が、被害者の**番号を入手するためにSIMカードを「紛失」したと主張する事例が報告されています。これはまだ改善の余地があることを証明していますが、2FAはテキストメッセージによる認証だけではありません。このガイドでは、Ubuntuのサーバーとデスクトップスタイルで、googleauthenticatorを使用して2要素認証を実装し、強化されたセキュリティを設定するのに役立ちます。

考察と前提条件

この設定を行うと、システムのすべてのユーザーが、以下の場合にGoogle Authenticatorからの認証コードを要求するようになります。

• ログインシステム
• sudoコマンドを実行する

この場合、時間はかかるものの、セキュリティが強化されることは重要です。

• Ubuntu 16.04 (デスクトップまたはサーバー)
• Google Authenticatorアプリ（Google Play StoreまたはApple App Storeから入手可能）

googleベリファイアのインストール

すでに説明したように、不要なアクセスに対する第二の防御策として、googleauthenticatorを使用することにします。まず、移動の部分を整理してみましょう。インストールの手順は、他のアプリケーションのインストールと全く同じです。以下のインストール手順はgoogleplayショップの場合ですが、Appleアプリショップでも違いはないはずです。

Android端末でGoogle Playストアを開き、「Google authenticator」を検索します。Google社が公開していることに注意して、正しい項目を見つけ、クリックします。その後、「インストール」をクリックし、プロンプトが表示されたら「同意する」をクリックし、インストールが完了するのを待ちます。

次に、デスクトップまたはサーバーでターミナルセッションを開始します。

以下のコマンドを実行します。

sudo apt-get install libpam-google-authenticator

プロンプトが表示されたら、パスワードを入力してEnterキーを押します。プロンプトが表示されたら、Yと入力してEnterキーをもう一度押して、インストールが完了するのを待ちます。

コンフィギュレーション

ここで、あなたの大切なLinuxに二段階認証を追加するために、ファイルを編集する必要があります。

sudo nano /etc/pam.d/common-auth

少し離れたところにある、こう書かれた線を探してみてください。

auth [success=1 default=ignore] pam_unix.so nullok_secure

その行の真上に、次のように付け加えます。

auth required pam_google_authenticator.so

ドキュメントは以下のようになります。

Ctrl+X、Yの順で押して保存し、ファイルを閉じます。

各ユーザーの設定

次のステップでは、いよいよGoogle Authenticatorにアカウントを連携させます。このステップは、システムにログインしているすべてのユーザーに対して実行する必要があります。この例では、ユーザーmakeuseofが1人しかいませんが、システム上の他のユーザーにも同じ手順が適用されます。

ターミナルで次のコマンドを実行します。

google-authenticator

よく見てみると、そのことがよくわかる。

• QRコード
• 検証コード
• 新しいキー
• 5 緊急用スクラッチコード

QRコードと鍵は、基本的に同じ機能です。すぐに戻ってきます。キャプチャーコードは、必要なときにすぐに使える1回限りのコード、スクラッチコードは、手元に携帯端末がないときに使える1回限りのコードです。プリントアウトするもよし、熱核兵器の鍵の下に保管するもよし、あるいは単に無視するもよし。最終的には、モバイル機器を忘れたり紛失したりしやすいかどうかにかかっていると思います。

また、いくつかの質問もされます。デフォルトの値で十分ですので、すべての値に対してYと回答してください。とりあえず、ウィンドウや端末セッションは閉じないでください。

モバイルアプリケーションのセットアップ

他のユーザーに移る前に、現在ログインしているユーザーを完了させましょう。

モバイル端末で初めてgoogleauthenticatorを起動する場合は、「開始」をクリックするか、メインウィンドウの下隅にあるプラスアイコンをクリックします。端末のウィンドウの解像度がQRコードを見るのに十分な場合は、「バーコードをスキャン」を選択するか、携帯端末のカメラがジャガイモに近い場合は、提供されたキーを入力してください。キーを入力する場合、どのアカウントに関連するかを覚えておくために、アカウント名を入力する必要があります。そして、端末のウィンドウに表示された認証キーを入力します。ここで「追加」を押してください。

バーコードを読み取ると、3つのステップが同時に実行されます。ほらねあなたのモバイル機器とシステムに、新たな保護レイヤーが加わりました。悪意のある個人がシステムにアクセスする唯一の方法は、パスワードを解読して、設定されたモバイルデバイスにアクセスすることです。

最終工程とテスト

この特定のシステムを複数の人が使用する場合があります。この例では、slaghoopleが追加ユーザーとなります。ターミナルセッションで次のコマンドを実行します。

sudo su slaghoople

モバイル端末でGoogle Authenticatorアプリケーションを起動します。アプリケーションから提供された6桁の認証コードをターミナルウィンドウに入力します。sudoのパスワードを入力し、Enterキーを押します。これで、ログインした状態になります。新規ユーザーとして、以下のコマンドを実行します。

google-authenticator

あとは、上記の最初のユーザーと全く同じ手順を実行するだけです。質問に答えた後、Google Authenticatorモバイルアプリを開いてください。別のアカウントを追加する。モバイル端末で区別しやすいように、アカウント名にはslaghoopleと入力してください。slaghoopleがログインして昇格コマンドを発行するには、モバイルアプリのコードとsudoパスワードが必要です。他のユーザーにも同じことを繰り返してください。すべてのユーザーの設定が完了すると、ログインやsudoコマンドの実行に認証コードが必要になることに気がつきます。

これで、あなたのLinuxマシンは以前よりずっと安全になりました。このプロセスは面倒だと言う人もいるかもしれません。

パスワードが漏えいし、システムが破壊されていませんか？機密データをどのように保護するか？現在、2ファクタ認証を利用していますか？ぜひ、コメントで教えてください

画像引用元：Dave Clark デジタル写真 via Shutterstock.com ウェブサイト