Az ujjlenyomat az egyik leggyakoribb engedélyezési bejegyzés. A biometrikus adatok engedélyezési felhasználása egy tőlük viszonylag elválaszthatatlan elem használatával igazolja az egyének fizikai létezését.
Ezenkívül a biometrikus adatok biztonságot nyújtanak a személy számára, mivel szinte minden egyénre jellemző adatokat használnak. Eltekintve a biometrikus adatok törvényes felhasználási korlátaitól, ezek a funkciók kiemelik az ujjlenyomatok használatát más második tényezős eszközökkel szemben.
A következőképpen állíthatja be ujjlenyomat-leolvasóját Linux rendszeren a PAM (Pluggable Authentication Modules) segítségével.
Mit kell figyelembe venni az ujjlenyomatokkal kapcsolatban
Az ujjlenyomat módszer nem a legbiztonságosabb választás a lehetőségek közül. Ennek néhány oka van:
- Nem módosíthatja az ujjlenyomatát. Ennek eredményeként megnő az adatok biztonságának biztosításának jelentősége.
- Az emberek sok helyen hagyják az ujjlenyomatukat, így könnyű megszerezni.
- Lehetőség van az ujjlenyomat-leolvasó rendszerek csalására. Bár a fejlett berendezések ezt megnehezítik, ez nem teljesen lehetetlen.
- Előfordulhat, hogy az ujjlenyomat-leolvasások nem azonosítják a személyt. Különösen fizikai változások, például sérülések tehetik lehetetlenné a szkennelést.
A fenti okok miatt célszerű az ujjlenyomatokat harmadik tényezőként vagy csak gyenge bizonyítékként használni az emberek fizikai létezésének bizonyítására.
Az ujjlenyomat-hitelesítés hozzáadása az egyetlen jelszóval védett rendszerhez némileg nagyobb biztonságot nyújt. Érdemes ujjlenyomatokat használni, különösen a beépített ujjlenyomat-szkennerrel rendelkező eszközökön, mivel ennek költsége szinte nulla.
Követelmények beállítása
Természetesen szüksége van egy ujjlenyomat-szkennerre, hogy az ujjlenyomat funkciót hozzáadja a GNU/Linux operációs rendszerrel rendelkező készülékéhez. Manapság a legtöbb eszköz rendelkezik ujjlenyomat-szkennerrel.
Ha rendelkezik ujjlenyomat-szkennerrel, a következő lépés az, hogy telepítse a fprintd csomagot a rendszeren.
Debian alapú (Ubuntu, Mint stb.) rendszereken:
sudo apt-kap telepítse az fprintd-tAz Arch Linux felhasználók telepíthetik az fprintd-t a Pacman segítségével:
sudo pacman -S fprintdRed Hat alapú (Fedora, CentOS stb.) rendszereken:
sudo yum telepítés fprintdA telepítés után már telepítve lesz fprintd és a belső PAM modul. Írja be a következő parancsot az ujjlenyomat-beolvasás elindításához:
fprintd-enroll-f[ujj_neve]El kell mondanod fprintd melyik ujjal szkennel. Így megtudhatja, melyik ujját kérdezi a beolvasás során. Az érvényes ujjnevek:
| Parancs | Ujj neve |
| bal hüvelykujj | Bal hüvelykujj |
| bal-mutató-ujj | Bal mutatóujj |
| bal-középső ujj | Bal középső ujj |
| bal gyűrűsujj | Bal gyűrűsujj |
| bal-kisujj | Bal kisujj |
| jobb hüvelykujj | Jobb hüvelykujj |
| jobb-mutató-ujj | Jobb mutatóujj |
| jobb-középső ujj | Jobb középső ujj |
| jobb gyűrűsujj | Jobb gyűrűsujj |
| jobb-kisujj | Jobb kisujj |
Ennek megfelelően a bal kisujj bemutatására szolgáló példaparancs a következő lenne:
fprintd-enroll -f bal-kisujjEzután négyszer kell beolvasnia az ujját, és ha sikeres, akkor hozzáadja az ujjlenyomatot.
Eszköz használata /net/reactivated/Fprint/Device/0
Bal-kisujj beiktatása.
Jelentkezési eredmény: beiratkozás-szakasz-átment
Jelentkezési eredmény: beiratkozás-szakasz-átment
Jelentkezési eredmény: beiratkozás-szakasz-átment
Jelentkezési eredmény: beiratkozás-szakasz-átment
Jelentkezés eredménye: beiratkozás-teljesítveA folyamat sikerének teszteléséhez futtassa az alábbi parancsot, és olvassa el az ujját:
fprintd-verify -f bal-kisujjA regisztrált ujjlenyomatai megjelennek a listában, és a megadott ujj beolvasása után megerősítést kap.
Eszköz használata /net/reactivated/Fprint/Device/0
A regisztrált ujjak listázása:
- #0: bal-kisujj
Eredmény ellenőrzése: verify-match (Kész)A PAM beállításai
Az adatok integritását és a személyes jogok védelmét illetően a PAM egyre nagyobb jelentőséget kap a kiberbiztonsági világban. Amikor rosszindulatú emberek megtámadnak egy eszközt, kihasználják az olyan támadásokat, mint pl privilégium eszkaláció hogy kihasználja az eszközt. Ezért a PAM óvintézkedés az ilyen támadások ellen.
A PAM a GNU/Linux rendszerek felhasználói engedélyezéséért felelős szoftver. A PAM viselkedését a alatt található konfigurációs fájlokkal módosíthatja /etc/pam.d Könyvtár. Ha kívánja, testreszabhatja a PAM beállításait igényei szerint.
Ha ujjlenyomat-hitelesítést szeretne hozzáadni az eszköz összes PAM-vezérelt bejelentkezéséhez, nyissa meg a következő fájlt a gombbal az Ön által választott szövegszerkesztő:
sudo vim /etc/pam.d/common-authA következőhöz hasonló szöveget fog látni:
Felhívjuk figyelmét, hogy ha ebben a szakaszban probléma adódik, és bekapcsolja a képernyőzárat, előfordulhat, hogy nem tud újra bejelentkezni eszközére.
Adja hozzá a következő sort a fájl végéhez:
authkívántpam_fprintd.ígyHa Vim-et használ, írja be :wq megnyomása után Menekülni. Találat Belép gépelés után, mentse a fájlt, és lépjen ki.
Ezt követően a rendszer kérni fogja az ujjlenyomatát az eszközén végzett összes engedélyezési folyamathoz.
Annak érdekében, hogy minden rendben legyen, és probléma esetén könnyedén kijavíthassa, nyisson meg egy másik terminált a nyitva tartott sudo jogosult terminálról. A fenti tanácsot követve írja be:
sudo ls ~A rendszernek jelszót és ujjlenyomatot kell kérnie a sudo engedélyezéshez. Ha ez nem történt meg, vagy a kezdőkönyvtárban lévő fájlok listázása nem sikerült, menjen vissza, és ellenőrizze, nem követett-e el hibát a lépésekben.
Ha problémába ütközik, megakadályozhatja az eszköz zárolását úgy, hogy visszavonja és elmenti a /etc/pam.d/common-auth fájlt a sudo jogosult terminálról.
Ha sikeresen letette a tesztet, most már egy kicsit biztonságosabban használhatja eszközét ujjlenyomatával.
Megfontolások nem rendszergazdai felhasználók számára
Ha egynél több felhasználó van az eszközön, és csak egy felhasználó használ ujjlenyomatot, módosíthatja a /etc/pam.d/common-auth konfigurációját a következőre, hogy csak az ujjlenyomat-beállítással rendelkező felhasználóknak legyen szüksége a második tényezőre. Ezt a lépést azonban alaposan meg kell fontolnia, mivel ez kizárja a root felhasználót a 2FA-ból:
authkívántpam_fprintd.ígynullokHa root felhasználóként szeretne bejelentkezni ujjlenyomattal, meg kell ismételnie a fenti lépéseket a root felhasználóval.
Linux-eszközének védelme ujjlenyomattal
Az ujjlenyomatok nem jelentenek egyszerű akadályt a rosszindulatú felhasználók számára az eszközhöz való hozzáférésben. Ezért, ha minden óvintézkedést megtett eszköze védelme érdekében, akkor az ujjlenyomatok biztonsági erejét is kihasználhatja. Azonban ne felejtse el, hogy lépésről lépésre helyesen kell elvégeznie az ujjlenyomat-konfigurációt.
A használt ujjlenyomat-szkenner nem hagyhatja cserben. Ezért kell bíznia a hardverben. Ezen kívül vannak sokkal egyszerűbb módszerek is az eszköz biztonsága érdekében. Az ujjlenyomatokat azonban nem szabad figyelmen kívül hagyni.
