استمع إلى المقال

سنشرح في هذا المقال تأمين تسجيل الدخول إلى sudo لنظام التشغيل عن طريق تثبيت وتمكين أداة مصادقة ثنائية تسمى Google Authenticator PAM module على Ubuntu 22.04 LTS Jammy JellyFish.

إذ يتم عادةً تأمين وحماية الحساب بأساليب تسجيل الدخول باسم المستخدم وكلمة المرور، لكن لإضافة طبقة من الحماية، يمكننا استخدام 2FA (طريقة المصادقة الثنائية). إذ يضمن ذلك عدم تمكن المستخدم من تسجيل الدخول بدون توفير رمز أمان إضافي.

ما هي المصادقة الثنائية؟

التوثيق الثنائي -المصادقة ذات العاملين- والمعروفة أيضًا باسم المصادقة الثنائية 2FA أو المصادقة ثنائية الاتجاه هي طريقة تتيح للمستخدم التعريف عن نفسه لمزود خدمة عبر استخدام أسلوبين مختلفين للتوثيق معًا –في ذات جلسة العمل– ويمكن أن تكون هذه الأساليب شيئًا يعرفه المستخدم (مثل كلمة سر أو رقم تعريف شخصي PIN) أو يملكه (مثل هاتف محمول أو جهاز دخول آمن) أو معلقاً به أو لا يمكن فصله عنه (مثل بصمات الأصابع).

وهذا يسمح بتقليل مخاطر سرقة البيانات. فإذا كنت ترغب في تسجيل الدخول إلى حسابك على جهاز جديد، ستحتاج إلى رمز ثانٍ بالإضافة إلى كلمة مرور الحساب التي اخترتها بنفسك لتأكيد تسجيل الدخول.

لتمكين المصادقة الثنائية على Ubuntu، يمكننا استخدام أداة بسيطة تُعرف باسم Google Authenticator، حيث يُنشئ التطبيق رمزًا على هاتفنا الذكي يجب علينا إدخاله عند تسجيل الدخول إلى حساب نظامنا.

خطوات تمكين Google Authenticator 2FA على Ubuntu 22.04 LTS Jammy

لا تقتصر الخطوات الواردة في هذا الشرح على Ubuntu Jammy، إذ يمكننا استخدامها للإصدارات القديمة من Ubuntu مثل 20.04 Focal أو 18.04 Bionic. بما في ذلك توزيعات Linux الأخرى مثل Debian و Linux Mint و Elementary OS و POP_OS وغيرها

هذه الخطوة التي نكررها دائمًا عند تثبيت تطبيقات جديدة؛ تحديث النظام لإعادة إنشاء ذاكرة التخزين المؤقت cach لفهرس حزمة APT:

sudo apt update

توفر Pluggable Authentication Modules(PAM) آلية مصادقة مركزية، وهنا نستخدم وحدة Google Authenticator PAM من خلال تثبيتها على Ubuntu 22.04 LTS باستخدام مدير حزم APT الافتراضي للنظام. يمكن الاطلاع على معلومات إضافية في صفحة الحزمة في GitHub.

sudo apt install libpam-google-authenticator

ننتقل الآن إلى هاتفك الذكي العامل بنظام Android أو iOS. افتح متجر التطبيقات، ابحث عن تطبيق Google Authenticator في متجرك وقم بتثبيته.

لدمج نظامك مع تطبيق Google Authenticator حتى يتمكن من إنشاء الرموز اللازمة لأداء المصادقة الثنائية أثناء تسجيل الدخول إلى النظام، قم بتشغيل الأمر التالي:

google-authenticator

باختيار y سيقوم بتشكيل رمز الاستجابة السريعة ” QR Code” الخاص بك كما يلي على سبيل المثال:

الآن، افتح تطبيق Google Authenticator على هاتفك الذكي. اضغط على أيقونة + الموجودة في الجانب السفلي الأيمن. ومن ثم مسح رمز QR الظاهر في نافذة محرر الأوامر أو الرابط الموجود أعلاه (في حالة المتصفح).

ستتم إضافة حساب حاسب أبونتو هذا إلى تطبيق Google Authenticator، وسيولّد لك رمزًا خاصًا جديدًا في كل مرة تريد تسجيل الدخول بعد إدخال كلمة المرور الاعتيادية.
يتيح لك Google Authenticator بمجرد الانتهاء من التأكيد مجموعة “رموز خاصة للطوارئ“، احتفظ بها في مكان آمن. فقد تحتاجها في حالة عدم الوصول لسبب ما إلى Google Authenticator (GA) ورموز المصادقة الثنائية الخاصة به في حال حدوث عطل أو فقدان للهاتف على سبيل المثال وتحتاج الدخول إلى حساب Ubuntu الخاص بك لاسترداده. وعلى عكس رموز GA، لن تنتهي صلاحية الرموز الاحتياطية هذه.

تمكين المصادقة الثنائية في Ubuntu 22.04 للمستخدم الجذر sudo

بشكل افتراضي، لن يطلب المستخدم رمز المصادقة الثنائية. لتمكينه، يتعين علينا إجراء بعض الإعدادات اليدوية كما يلي عبر محرر nano أو gedit مثلاً:

sudo gedit /etc/pam.d/common-auth

سنضيف السطرين التاليين للملف إلى السطور الأخيرة للملف كما في الصورة -السطرين 28 و 29- في مثالنا:

auth required pam_google_authenticator.so nullok
auth required pam_permit.so

للاختبار: قم بتسجيل الدخول إلى بعض المستخدمين باستخدام sudo الذي تم تمكينه لاستخدام رموز 2FA التي تم إنشاؤها بواسطة تطبيق Google Authenticator.

وسواءً من محرر الأوامر أو عند تسجيل الدخول لأول مرة لسطح المكتب، ستحتاج بعد إدخال كلمة المرور الأساسية إلى إضافة رمز التحقق “Verification code” المولّد بواسطة Google Authenticator.

حذف أو تعطيل المصادقة الثنائية

يمكن ببساطة تعطيل أو حذف المصادقة الثنائية عبر الأمر التالي:

sudo rm /home/user/.google_authenticator

ما عليك سوى استبدال “user” باسم المستخدم الخاص بك.

يمكن أيضا تحرير الملف /etc/ssh/sshd_config. ومن ثم البحث عن السطر التالي وحذف “keyboard-interactive”

AuthenticationMethods publickey,keyboard-interactive

ليصبح كما يلي:

AuthenticationMethods publickey

ومن ثم تفعيل الأمر التالي:

 sudo systemctl restart ssh

ملحق النصائح:

• أذا كنت بحاجة للمصادقة الثنائية، احتفظ دائمًا بالرموز الاحتياطية. فرغم أن المصادقة الثنائية مفيدة وترفع مستوى الأمان. إلا أن لها مخاطرها؛ مثل فقدان الجهاز الذكي أو تعطله. هذا سيجعلك عاجزًا عن تسجيل الدخول دون الاستعانة بالرموز الاحتياطية.
• لا ينصح باستخدام رسائل SMS في عملية المصادقة الثنائية. في الحقيقة إن هذه الرسائل يمكن أن تكون مكشوفة لشركات الهاتف أو مزودي خدمات الاتصال، أو حتى لشخصٍ خبير يمتلك الأدوات المناسبة.

كاتب المقال أحمد بكداش ينصح بقراءة ...

البرمجيات للجميع.. كيف يكتسب مختلف المساهمين أهميتهم في المشاريع مفتوحة المصدر؟