Отпечаток пальца является одним из самых распространенных входов для авторизации. Использование биометрических данных для авторизации подтверждает физическое существование физических лиц с помощью относительно неотделимого от них элемента.
Кроме того, биометрические данные обеспечивают безопасность человека, используя данные, характерные почти для каждого человека. Оставляя в стороне законные ограничения на использование биометрических данных, эти функции подчеркивают использование отпечатков пальцев по сравнению с другими инструментами второго фактора.
Вот как вы можете настроить сканер отпечатков пальцев в Linux с помощью PAM (подключаемых модулей аутентификации).
Что следует учитывать в отношении отпечатков пальцев
Метод отпечатков пальцев не самый безопасный выбор среди ваших вариантов. Для этого есть несколько причин:
- Вы не можете изменить свой отпечаток пальца. В результате возрастает важность обеспечения безопасности этих данных.
- Люди оставляют свои отпечатки пальцев во многих местах, поэтому их легко получить.
- Можно обмануть системы сканирования отпечатков пальцев. Хотя современное оборудование затрудняет это, это не совсем невозможно.
- Сканирование отпечатков пальцев может не идентифицировать человека. В частности, физические изменения, такие как травмы, могут сделать сканирование невозможным.
По вышеуказанным причинам полезно использовать отпечатки пальцев в качестве третьего фактора или только слабого доказательства для доказательства физического существования людей.
Добавление аутентификации по отпечатку пальца в единственную защищенную паролем систему обеспечит дополнительную безопасность. Использовать отпечатки пальцев имеет смысл, особенно на устройствах со встроенным сканером отпечатков пальцев, так как затраты на это практически нулевые.
Настройка требований
Конечно, вам нужен сканер отпечатков пальцев, чтобы добавить функцию отпечатков пальцев на ваше устройство с операционной системой GNU/Linux. Большинство современных устройств оснащены сканерами отпечатков пальцев.
Если у вас есть сканер отпечатков пальцев, следующим шагом будет установка fprintd пакет в вашей системе.
В системах на базе Debian (Ubuntu, Mint и т. д.):
Судо подходитполучать установить fprintd
Пользователи Arch Linux могут установить fprintd с помощью Pacman:
sudo pacman -S fprintd
В системах на базе Red Hat (Fedora, CentOS и т. д.):
судо ням установить fprintd
После установки у вас будет установлено fprintd и внутренний модуль PAM. Введите следующую команду, чтобы начать сканирование отпечатков пальцев:
fprintd-зачисление-f[имя_пальца]
Вам нужно сказать fprintd каким пальцем вы сканируете. Таким образом, вы можете узнать, какой палец запрашивается во время сканирования. Допустимые имена пальцев:
Команда | Имя пальца |
левый большой палец | Левый большой палец |
левый указательный палец | Указательный палец левой руки |
левый средний палец | Левый средний палец |
левый безымянный палец | Левый безымянный палец |
левый мизинец | Левый мизинец |
большой палец правой руки | Большой палец правой руки |
правый указательный палец | Указательный палец правой руки |
правый средний палец | Правый средний палец |
безымянный палец правой руки | Безымянный палец правой руки |
правый мизинец | Правый мизинец |
Соответственно, пример команды для введения левого мизинца будет выглядеть следующим образом:
fprintd-enroll -f левый мизинец
Затем вам нужно будет отсканировать палец четыре раза, и в случае успеха вы добавите отпечаток пальца.
Использование устройства /net/reactivated/Fprint/Device/0
Зачисление мизинца левой руки.
Результат регистрации: этап регистрации пройден
Результат регистрации: этап регистрации пройден
Результат регистрации: этап регистрации пройден
Результат регистрации: этап регистрации пройден
Результат регистрации: регистрация завершена
Чтобы проверить успешность процесса, вы можете запустить команду ниже и прочитать свой палец:
fprintd-verify -f левый мизинец
Ваши зарегистрированные отпечатки пальцев будут перечислены, и вы получите подтверждение после сканирования указанного вами пальца.
Использование устройства /net/reactivated/Fprint/Device/0
Список зарегистрированных пальцев:
- #0: левый мизинец
Результат проверки: проверка совпадения (сделанный)
Настройки PAM, которые вам нужно сделать
Что касается целостности данных и защиты личных прав, PAM приобретает все большее значение в мире кибербезопасности. Когда злоумышленники атакуют устройство, они используют такие атаки, как повышение привилегий использовать устройство. Таким образом, PAM является мерой предосторожности против таких атак.
PAM — это программное обеспечение, отвечающее за авторизацию пользователей в системах GNU/Linux. Вы можете настроить поведение PAM с помощью файлов конфигурации, расположенных в /etc/pam.d каталог. При желании вы можете настроить параметры PAM в соответствии со своими потребностями.
Чтобы добавить аутентификацию по отпечатку пальца ко всем входам в систему вашего устройства, контролируемым PAM, откройте следующий файл с текстовый редактор на ваш выбор:
sudo vim /etc/pam.d/common-auth
Вы увидите текст, похожий на следующий:
Обратите внимание, что если на этом этапе возникнет проблема и вы включите блокировку экрана, возможно, вы не сможете снова войти в свое устройство.
Добавьте следующую строку в конец файла:
авторизациянеобходимыйpam_fprintd.так
Если вы используете Vim, введите :wq после нажатия Побег. Ударять Входить после ввода, сохранить файл, и выход.
После этого система будет запрашивать у вас отпечаток пальца для всех процессов авторизации на вашем устройстве.
Чтобы убедиться, что все в порядке, и легко исправить это, если возникнет проблема, откройте другой терминал с авторизованного терминала sudo, который вы оставили открытым. Следуя совету выше, введите:
судо лс ~
Ваша система должна запросить у вас пароль и отпечаток пальца для авторизации sudo. Если этого не произошло или файлы в домашнем каталоге не были успешно перечислены, вернитесь и проверьте, не допустили ли вы ошибку в шагах.
Если вы столкнулись с проблемой, вы можете предотвратить блокировку устройства, отменив и сохранив изменения, внесенные в /etc/pam.d/common-auth файл с авторизованного терминала sudo.
Если вы успешно прошли тест, теперь вы можете начать использовать свое устройство более безопасно с помощью отпечатка пальца.
Рекомендации для пользователей без прав администратора
Если на устройстве более одного пользователя и только один из них использует отпечаток пальца, вы можете изменить /etc/pam.d/common-auth настроить следующим образом, чтобы второй фактор требовался только для пользователей с настройкой отпечатков пальцев. Однако это шаг, который вы должны тщательно обдумать, так как он исключит пользователя root из 2FA:
авторизациянеобходимыйpam_fprintd.такнуллок
Если вы хотите войти в систему как пользователь root с помощью отпечатка пальца, вам необходимо повторить описанные выше шаги с пользователем root.
Защита вашего устройства Linux с помощью отпечатка пальца
Отпечатки пальцев — непростая преграда для злоумышленников, пытающихся получить доступ к вашему устройству. Поэтому, если вы приняли все меры предосторожности для защиты своего устройства, вы также можете воспользоваться преимуществами безопасности отпечатков пальцев. Однако не стоит забывать, что настройку отпечатка пальца нужно делать пошагово правильно.
Сканер отпечатков пальцев, который вы используете, не должен вас подводить. Вот почему вы должны доверять своему оборудованию. Кроме того, есть гораздо более простые методы, которые вы можете использовать для обеспечения безопасности вашего устройства. Однако не следует пренебрегать отпечатками пальцев.