Cách thiết lập máy quét vân tay của bạn với PAM trên Linux

Dấu vân tay là một trong những mục phổ biến nhất để ủy quyền. Việc sử dụng dữ liệu sinh trắc học để xác nhận sự tồn tại vật lý của các cá nhân bằng cách sử dụng một yếu tố tương đối không thể tách rời khỏi họ.


Ngoài ra, dữ liệu sinh trắc học cung cấp bảo mật cho người đó bằng cách sử dụng dữ liệu dành riêng cho hầu hết mọi cá nhân. Bỏ qua các giới hạn sử dụng hợp pháp của dữ liệu sinh trắc học, các tính năng này làm nổi bật việc sử dụng dấu vân tay so với các công cụ yếu tố thứ hai khác.

Đây là cách bạn có thể thiết lập máy quét dấu vân tay của mình trên Linux bằng PAM (Mô-đun xác thực có thể cắm được).


Những điều cần xem xét về dấu vân tay

Phương pháp lấy dấu vân tay không phải là lựa chọn an toàn nhất trong số các lựa chọn của bạn. Có một số lý do cho việc này:

  • Bạn không thể thay đổi dấu vân tay của mình. Do đó, tầm quan trọng của việc đảm bảo tính bảo mật của dữ liệu này tăng lên.
  • Mọi người để lại dấu vân tay ở nhiều nơi nên rất dễ lấy.
  • Có thể gian lận hệ thống quét dấu vân tay. Mặc dù thiết bị tiên tiến khiến việc này trở nên khó khăn nhưng không hoàn toàn là không thể.
  • Quét dấu vân tay có thể không xác định được người đó. Đặc biệt, những thay đổi về thể chất như chấn thương có thể khiến việc quét không thể thực hiện được.

Vì những lý do trên, sẽ rất hữu ích nếu sử dụng dấu vân tay như một yếu tố thứ ba hoặc chỉ là bằng chứng yếu để chứng minh sự tồn tại vật chất của con người.

Thêm xác thực dấu vân tay vào hệ thống được bảo vệ bằng mật khẩu duy nhất sẽ cung cấp thêm một số bảo mật. Thật hợp lý khi sử dụng dấu vân tay, đặc biệt là trên các thiết bị có máy quét dấu vân tay tích hợp vì chi phí cho việc này gần như bằng không.

Thiết lập các yêu cầu

Tất nhiên, bạn cần một máy quét vân tay để thêm tính năng vân tay vào thiết bị của mình với hệ điều hành GNU/Linux. Hầu hết các thiết bị ngày nay đều có máy quét dấu vân tay.

Nếu bạn có máy quét dấu vân tay, bước tiếp theo là cài đặt fprintd gói trên hệ thống của bạn.

Trên các hệ thống dựa trên Debian (Ubuntu, Mint, v.v.):

sudo apt-get install fprintd

Người dùng Arch Linux có thể cài đặt fprintd bằng Pacman:

sudo pacman -S fprintd

Trên các hệ thống dựa trên Red Hat (Fedora, CentOS, v.v.):

sudo yum install fprintd
fprintd-install-on-debian-for-pam

Sau khi cài đặt, bạn sẽ có cài đặt fprintd và mô-đun PAM bên trong. Nhập lệnh sau để bắt đầu quét dấu vân tay:

fprintd-enroll -f [finger_name]

Bạn cần nói fprintd bạn đang quét bằng ngón tay nào. Bằng cách này, bạn có thể biết ngón tay nào nó đang hỏi bạn trong khi quét. Tên ngón tay hợp lệ là:

Yêu cầu Tên ngón tay
ngón cái trái ngón cái trái
ngón trỏ trái ngón trỏ trái
trái-ngón giữa ngón giữa trái
ngón đeo nhẫn trái Ngón đeo nhẫn trái
ngón út trái ngón út trái
ngón cái tay phải ngón tay cái bên phải
ngón trỏ phải ngón trỏ phải
ngón giữa phải ngón giữa bên phải
ngón áp út phải Ngón đeo nhẫn bên phải
ngón tay út phải Ngón tay út bên phải

Theo đó, lệnh ví dụ để giới thiệu ngón tay út bên trái của bạn sẽ như sau:

fprintd-enroll -f left-little-finger

Sau đó, bạn sẽ cần quét ngón tay của mình bốn lần và nếu thành công, bạn sẽ thêm dấu vân tay.

Using device /net/reactivated/Fprint/Device/0
Enrolling left-little-finger finger.
Enroll result: enroll-stage-passed
Enroll result: enroll-stage-passed
Enroll result: enroll-stage-passed
Enroll result: enroll-stage-passed
Enroll result: enroll-completed

Để kiểm tra mức độ thành công của quy trình, bạn có thể chạy lệnh bên dưới và đọc ngón tay của mình:

fprintd-verify -f left-little-finger

Dấu vân tay đã đăng ký của bạn sẽ được liệt kê và bạn sẽ nhận được xác nhận khi quét ngón tay bạn đã chỉ định.

Using device /net/reactivated/Fprint/Device/0
Listing enrolled fingers:
-
Verify result: verify-match (done)

Cài đặt PAM bạn cần thực hiện

Liên quan đến tính toàn vẹn của dữ liệu và bảo vệ quyền cá nhân, PAM ngày càng có tầm quan trọng hơn trong thế giới an ninh mạng. Khi những kẻ độc hại tấn công một thiết bị, chúng sẽ lợi dụng các cuộc tấn công như leo thang đặc quyền để khai thác thiết bị. Do đó, PAM là một biện pháp phòng ngừa chống lại các cuộc tấn công như vậy.

PAM là phần mềm chịu trách nhiệm cấp quyền cho người dùng trên các hệ thống GNU/Linux. Bạn có thể điều chỉnh hành vi của PAM bằng các tệp cấu hình nằm trong /etc/pam.d danh mục. Nếu muốn, bạn có thể tùy chỉnh cài đặt PAM theo nhu cầu của mình.

Để thêm xác thực dấu vân tay vào tất cả thông tin đăng nhập do PAM kiểm soát trên thiết bị của bạn, hãy mở tệp sau bằng trình soạn thảo văn bản bạn chọn:

sudo vim /etc/pam.d/common-auth

Bạn sẽ thấy văn bản tương tự như sau:

gnu-linux-pam-configuration-pam-content

Xin lưu ý rằng nếu có sự cố ở giai đoạn này và bạn bật khóa màn hình, bạn có thể không đăng nhập lại được vào thiết bị của mình.

Thêm dòng sau vào cuối tệp:

auth required pam_fprintd.so

Nếu bạn sử dụng Vim, gõ :wq sau khi nhấn Thoát khỏi. Đánh đi vào sau khi nhập, lưu tệp và thoát.

Sau thời điểm này, hệ thống sẽ yêu cầu bạn cung cấp dấu vân tay cho tất cả các quy trình ủy quyền trên thiết bị của bạn.

Để đảm bảo mọi thứ đều ổn và để khắc phục dễ dàng nếu có sự cố, hãy mở một thiết bị đầu cuối khác từ thiết bị đầu cuối được ủy quyền sudo mà bạn vẫn mở. Làm theo lời khuyên ở trên, nhập:

sudo ls ~

Hệ thống của bạn sẽ yêu cầu bạn nhập mật khẩu và dấu vân tay để ủy quyền sudo. Nếu điều này không xảy ra hoặc các tệp trong thư mục chính không được liệt kê thành công, hãy quay lại và kiểm tra xem bạn có thực hiện sai các bước không.

Nếu gặp sự cố, bạn có thể ngăn thiết bị của mình khóa bằng cách hoàn tác và lưu các thay đổi bạn đã thực hiện trong /etc/pam.d/common-auth tệp từ thiết bị đầu cuối được ủy quyền sudo.

Nếu bạn đã vượt qua bài kiểm tra thành công, bây giờ bạn có thể bắt đầu sử dụng thiết bị của mình an toàn hơn một chút bằng dấu vân tay của mình.

Cân nhắc cho người dùng không phải quản trị viên

dấu vân tay là một phương pháp nghiêm túc để bảo vệ thiết bị cá nhân của bạn

Nếu có nhiều người dùng trên thiết bị và chỉ một người dùng sử dụng dấu vân tay, bạn có thể thay đổi /etc/pam.d/common-auth cấu hình như sau để chỉ những người dùng có thiết lập vân tay mới cần yếu tố thứ hai. Tuy nhiên, đây là một bước mà bạn nên cân nhắc cẩn thận, vì nó sẽ loại trừ người dùng root khỏi 2FA:

auth required pam_fprintd.so nullok

Nếu bạn muốn đăng nhập với tư cách người dùng root bằng dấu vân tay, bạn cần lặp lại các bước trên với người dùng root.

Bảo vệ thiết bị Linux của bạn bằng vân tay

Dấu vân tay không phải là rào cản dễ dàng đối với những người dùng có ý đồ xấu để giành quyền truy cập vào thiết bị của bạn. Do đó, nếu bạn đã thực hiện tất cả các biện pháp phòng ngừa để bảo vệ thiết bị của mình, bạn cũng có thể tận dụng sức mạnh bảo mật của dấu vân tay. Tuy nhiên bạn cũng đừng quên rằng phải thực hiện đúng từng bước cấu hình vân tay.

Máy quét dấu vân tay bạn đang sử dụng sẽ không làm bạn thất vọng. Đó là lý do tại sao bạn cần tin tưởng vào phần cứng của mình. Ngoài ra, có nhiều phương pháp dễ dàng hơn mà bạn có thể thực hiện để bảo mật thiết bị của mình. Tuy nhiên, không nên bỏ qua dấu vân tay.

Previous Post
Next Post

post written by: