Otisk prstu je jednou z nejběžnějších položek pro autorizaci. Použití biometrických údajů pro autorizaci potvrzuje fyzickou existenci jednotlivců použitím prvku, který je od nich relativně neoddělitelný.
Biometrická data navíc poskytují bezpečnost dané osobě tím, že využívají data specifická pro téměř každého jednotlivce. Pomineme-li zákonná omezení používání biometrických údajů, tyto funkce zdůrazňují použití otisků prstů oproti jiným nástrojům druhého faktoru.
Zde je návod, jak nastavit skener otisků prstů v systému Linux pomocí PAM (Pluggable Authentication Modules).
Co je třeba zvážit o otiscích prstů
Metoda otisku prstu není z vašich možností nejbezpečnější volbou. Má to několik důvodů:
- Otisk prstu nelze změnit. V důsledku toho roste význam zajištění bezpečnosti těchto dat.
- Lidé zanechávají své otisky prstů na mnoha místech, takže je snadné je získat.
- Je možné ošidit systémy snímání otisků prstů. I když pokročilé vybavení to ztěžuje, není to zcela nemožné.
- Skenování otisků prstů může selhat při identifikaci osoby. Zejména fyzické změny, jako jsou zranění, mohou skenování znemožnit.
Z výše uvedených důvodů je užitečné používat otisky prstů jako třetí faktor nebo pouze slabý důkaz k prokázání fyzické existence lidí.
Přidání ověřování otiskem prstu do jediného systému chráněného heslem poskytne větší bezpečnost. Má smysl používat otisky prstů, zejména na zařízeních s vestavěným skenerem otisků prstů, protože náklady na to jsou téměř nulové.
Nastavení požadavků
K přidání funkce otisků prstů do zařízení s operačním systémem GNU/Linux samozřejmě potřebujete snímač otisků prstů. Většina dnešních zařízení má čtečku otisků prstů.
Pokud máte skener otisků prstů, dalším krokem je instalace fprintd balíček ve vašem systému.
Na systémech založených na Debianu (Ubuntu, Mint atd.):
sudo apt-dostat nainstalovat fprintdUživatelé Arch Linuxu mohou nainstalovat fprintd pomocí Pacman:
sudo pacman -S fprintdNa systémech založených na Red Hatu (Fedora, CentOS atd.):
sudo mňam Nainstalujte fprintdPo instalaci budete mít nainstalováno fprintd a interní modul PAM. Chcete-li spustit skenování otisků prstů, zadejte následující příkaz:
fprintd-enroll-F[finger_name]Musíš to říct fprintd kterým prstem skenujete. Tímto způsobem můžete vědět, na který prst se vás během skenování ptá. Platná jména prstů jsou:
| Příkaz | Jméno prstu |
| levý palec | Levý palec |
| levý ukazováček | Levý ukazováček |
| levý prostředník | Levý prostředníček |
| levý prsteníček | Levý prsteníček |
| levý-malíček | Levý malíček |
| pravý palec | Pravý palec |
| pravý ukazováček | Pravý ukazováček |
| pravý prostředníček | Pravý prostředníček |
| pravý prsteníček | Pravý prsteníček |
| pravý-malíček | Pravý malíček |
V souladu s tím by příklad příkazu pro zavedení levého malíčku vypadal takto:
fprintd-enroll -f levý-malíčekPoté budete muset naskenovat prst čtyřikrát a pokud bude úspěšný, přidáte otisk prstu.
Pomocí zařízení /net/reactivated/Fprint/Device/0
Registrace levého malíčku.
Výsledek zápisu: fáze zápisu prošla
Výsledek zápisu: fáze zápisu prošla
Výsledek zápisu: fáze zápisu prošla
Výsledek zápisu: fáze zápisu prošla
Výsledek zápisu: zápis dokončenChcete-li otestovat úspěšnost procesu, můžete spustit příkaz níže a přečíst si prst:
fprintd-verify -f levý-malíčekVaše registrované otisky budou uvedeny a po naskenování vámi zadaného prstu obdržíte potvrzení.
Pomocí zařízení /net/reactivated/Fprint/Device/0
Výpis přihlášených prstů:
- #0: levý malíček
Ověřit výsledek: ověřit-shoda (Hotovo)Nastavení PAM, které musíte udělat
Pokud jde o integritu dat a ochranu osobních práv, PAM získává ve světě kybernetické bezpečnosti stále větší význam. Když zlomyslní lidé útočí na zařízení, využívají útoků jako např eskalace privilegií zneužít zařízení. Proto je PAM preventivním opatřením proti takovým útokům.
PAM je software zodpovědný za autorizaci uživatelů na systémech GNU/Linux. Chování PAM můžete upravit pomocí konfiguračních souborů umístěných pod /etc/pam.d adresář. Pokud si přejete, můžete upravit nastavení PAM podle svých potřeb.
Chcete-li přidat ověřování otisků prstů ke všem přihlášením řízeným PAM vašeho zařízení, otevřete následující soubor s a textový editor dle vašeho výběru:
sudo vim /etc/pam.d/common-authUvidíte text podobný následujícímu:
Upozorňujeme, že pokud se v této fázi vyskytne problém a povolíte zámek obrazovky, možná se nebudete moci znovu přihlásit ke svému zařízení.
Na konec souboru přidejte následující řádek:
authPožadovanépam_fprintd.takPokud používáte Vim, napište :wq po stisknutí Uniknout. Udeřil Vstupte po napsání, uložte soubora ukončete.
Po tomto okamžiku vás systém požádá o váš otisk prstu pro všechny autorizační procesy na vašem zařízení.
Abyste se ujistili, že je vše v pořádku, a v případě problému jej bez námahy opravte, otevřete jiný terminál z autorizovaného terminálu sudo, který jste nechali otevřený. Podle výše uvedené rady zadejte:
sudo ls ~Váš systém by vás měl požádat o heslo a otisk prstu pro autorizaci sudo. Pokud se tak nestalo nebo soubory v domovském adresáři nebyly úspěšně uvedeny, vraťte se a zkontrolujte, zda jste v krocích neudělali chybu.
Pokud narazíte na problém, můžete zabránit uzamčení zařízení tím, že vrátíte zpět a uložíte změny, které jste provedli v /etc/pam.d/common-auth soubor z autorizovaného terminálu sudo.
Pokud jste testem prošli úspěšně, můžete nyní začít používat své zařízení o něco bezpečněji pomocí otisku prstu.
Důležité informace pro uživatele bez oprávnění správce
Pokud je na zařízení více než jeden uživatel a pouze jeden uživatel používá otisk prstu, můžete změnit /etc/pam.d/common-auth konfiguraci na následující, takže druhý faktor potřebují pouze uživatelé s nastavením otisku prstu. Toto je však krok, který byste měli pečlivě zvážit, protože vyloučí uživatele root z 2FA:
authPožadovanépam_fprintd.taknullokPokud se chcete přihlásit jako uživatel root s otiskem prstu, musíte výše uvedené kroky zopakovat s uživatelem root.
Ochrana vašeho zařízení se systémem Linux pomocí otisku prstu
Otisky prstů nejsou snadnou překážkou pro uživatele se zlými úmysly, aby získali přístup k vašemu zařízení. Pokud jste tedy přijali všechna opatření k ochraně svého zařízení, můžete také využít bezpečnostní sílu otisků prstů. Neměli byste však zapomínat, že konfiguraci otisku prstu musíte provést krok za krokem správně.
Skener otisků prstů, který používáte, by vás neměl zklamat. Proto musíte svému hardwaru věřit. Kromě toho existují mnohem jednodušší metody, které můžete použít pro zabezpečení svého zařízení. Otisky prstů by se však neměly opomíjet.