Prstni odtis je eden najpogostejših vnosov za avtorizacijo. Uporaba biometričnih podatkov za avtorizacijo potrjuje fizični obstoj posameznikov z uporabo elementa, ki je od njih relativno neločljiv.
Poleg tega biometrični podatki osebi zagotavljajo varnost z uporabo podatkov, značilnih za skoraj vsakega posameznika. Če pustimo ob strani zakonske omejitve uporabe biometričnih podatkov, te funkcije poudarjajo uporabo prstnih odtisov pred drugimi orodji drugega faktorja.
Tukaj je opisano, kako lahko nastavite svoj optični bralnik prstnih odtisov v sistemu Linux z uporabo PAM (Pluggable Authentication Modules).
Kaj morate upoštevati pri prstnih odtisih
Metoda prstnih odtisov ni najvarnejša izbira med vašimi možnostmi. Za to obstaja nekaj razlogov:
- Prstnega odtisa ne morete spremeniti. Posledično se povečuje pomen zagotavljanja varnosti teh podatkov.
- Ljudje puščajo svoje prstne odtise marsikje, zato jih je enostavno pridobiti.
- Sisteme za skeniranje prstnih odtisov je mogoče goljufati. Čeprav napredna oprema to otežuje, ni povsem nemogoče.
- Skeniranje prstnih odtisov morda ne identificira osebe. Zlasti fizične spremembe, kot so poškodbe, lahko onemogočijo skeniranje.
Zaradi zgoraj navedenih razlogov je koristno uporabiti prstne odtise kot tretji dejavnik ali le šibek dokaz za dokaz fizičnega obstoja ljudi.
Dodatek preverjanja pristnosti s prstnim odtisom edinemu sistemu, zaščitenemu z geslom, bo zagotovil nekaj več varnosti. Smiselno je uporabljati prstne odtise, še posebej na napravah z vgrajenim čitalnikom prstnih odtisov, saj so stroški tega skoraj nič.
Nastavitev zahtev
Seveda potrebujete optični bralnik prstnih odtisov, da svoji napravi z operacijskim sistemom GNU/Linux dodate funkcijo prstnih odtisov. Večina današnjih naprav ima bralnike prstnih odtisov.
Če imate optični bralnik prstnih odtisov, je naslednji korak namestitev fprintd paket v vašem sistemu.
V sistemih, ki temeljijo na Debianu (Ubuntu, Mint itd.):
sudo apt-dobiti namestite fprintdUporabniki Arch Linuxa lahko namestijo fprintd s Pacmanom:
sudo pacman -S fprintdV sistemih, ki temeljijo na Red Hat (Fedora, CentOS itd.):
sudo njam namestite fprintdPo namestitvi boste namestili fprintd in notranji modul PAM. Vnesite naslednji ukaz za začetek skeniranja prstnih odtisov:
fprintd-vpis-f[ime_prsta]Moraš povedati fprintd s katerim prstom skenirate. Tako lahko med skeniranjem veste, kateri prst vas sprašuje. Veljavna imena prstov so:
| Ukaz | Ime prsta |
| levi palec | Levi palec |
| levi kazalec | Levi kazalec |
| levi-sredinec | Levi sredinec |
| levi prstanec | Levi prstanec |
| levi-mezinec | Levi mezinec |
| desni palec | Desni palec |
| desni kazalec | Desni kazalec |
| desni-sredinec | Desni sredinec |
| desni prstanec | Desni prstanec |
| desni-mezinec | Desni mezinec |
V skladu s tem bi bil primer ukaza za predstavitev vašega levega mezinca naslednji:
fprintd-vpis -f levi-mezinecNato boste morali štirikrat optično prebrati svoj prst in če bo uspelo, boste dodali prstni odtis.
Uporaba naprave /net/reactivated/Fprint/Device/0
Vpis levo-mezinca.
Rezultat vpisa: enroll-stage-passed
Rezultat vpisa: enroll-stage-passed
Rezultat vpisa: enroll-stage-passed
Rezultat vpisa: enroll-stage-passed
Rezultat vpisa: vpis končanČe želite preizkusiti uspešnost postopka, lahko zaženete spodnji ukaz in preberete svoj prst:
fprintd-verify -f levi-mezinecVaši registrirani prstni odtisi bodo navedeni in prejeli boste potrditev po skeniranju prsta, ki ste ga navedli.
Uporaba naprave /net/reactivated/Fprint/Device/0
Seznam vpisanih prstov:
- #0: levi mezinec
Preverite rezultat: verify-match (Končano)Nastavitve PAM, ki jih morate narediti
Kar zadeva celovitost podatkov in zaščito osebnih pravic, postaja PAM v svetu kibernetske varnosti čedalje večji pomen. Ko zlonamerni ljudje napadejo napravo, izkoristijo napade, kot je npr stopnjevanje privilegijev za izkoriščanje naprave. Zato je PAM previdnostni ukrep pred takimi napadi.
PAM je programska oprema, odgovorna za avtorizacijo uporabnikov v sistemih GNU/Linux. Obnašanje PAM-a lahko prilagodite s konfiguracijskimi datotekami, ki se nahajajo pod /etc/pam.d imenik. Če želite, lahko nastavitve PAM prilagodite svojim potrebam.
Če želite dodati preverjanje pristnosti prstnih odtisov vsem prijavam v vaši napravi, ki jih nadzoruje PAM, odprite naslednjo datoteko z urejevalnik besedil po vaši izbiri:
sudo vim /etc/pam.d/common-authVideli boste besedilo, podobno naslednjemu:
Če na tej stopnji pride do težave in omogočite zaklepanje zaslona, se morda ne boste mogli znova prijaviti v svojo napravo.
Na koncu datoteke dodajte naslednjo vrstico:
avtpotrebnopam_fprintd.takoČe uporabljate Vim, vnesite :wq po pritisku Pobegniti. Hit Vnesite po tipkanju, shranite datoteko, in izhod.
Po tej točki vas bo sistem vprašal za vaš prstni odtis za vse postopke avtorizacije v vaši napravi.
Da se prepričate, da je vse v redu in da jo brez truda popravite, če pride do težave, odprite drug terminal iz pooblaščenega terminala sudo, ki ste ga imeli odprtega. Po zgornjem nasvetu vnesite:
sudo ls ~Vaš sistem bi vas moral vprašati za geslo in prstni odtis za avtorizacijo sudo. Če se to ni zgodilo ali datoteke v domačem imeniku niso bile uspešno navedene, se vrnite in preverite, ali ste v korakih naredili napako.
Če naletite na težavo, lahko preprečite zaklepanje naprave tako, da razveljavite in shranite spremembe, ki ste jih naredili v /etc/pam.d/common-auth datoteko iz pooblaščenega terminala sudo.
Če ste uspešno opravili test, lahko zdaj začnete uporabljati svojo napravo nekoliko bolj varno s prstnim odtisom.
Premisleki za uporabnike, ki niso skrbniki
Če je v napravi več kot en uporabnik in samo en uporabnik uporablja prstni odtis, lahko spremenite /etc/pam.d/common-auth konfiguracijo na naslednje, tako da samo uporabniki z nastavitvijo prstnega odtisa potrebujejo drugi dejavnik. Vendar je to korak, ki ga morate skrbno razmisliti, saj bo korenskega uporabnika izključil iz 2FA:
avtpotrebnopam_fprintd.takonullokČe se želite prijaviti kot root uporabnik s prstnim odtisom, morate zgornje korake ponoviti s root uporabnikom.
Zaščita vaše naprave Linux s prstnim odtisom
Prstni odtisi niso lahka ovira za zlonamerne uporabnike pri dostopu do vaše naprave. Če ste torej sprejeli vse varnostne ukrepe za zaščito svoje naprave, lahko izkoristite tudi varnostno moč prstnih odtisov. Vendar ne smete pozabiti, da morate konfiguracijo prstnih odtisov narediti korak za korakom pravilno.
Čitalnik prstnih odtisov, ki ga uporabljate, vas ne sme razočarati. Zato morate zaupati svoji strojni opremi. Poleg tega obstajajo veliko preprostejše metode, ki jih lahko uporabite za varnost svoje naprave. Ne gre pa zanemariti prstnih odtisov.
