暗号化されたホームフォルダーとともにセキュリティを強化するために、ubuntu マシンへのログインに 2FA を実装しようとしています。これはオフラインでも機能するため、Google Authenticator pam モジュールを使用することにしました。Google の GitHub リポジトリhttps://github.com/google/google-authenticator/blob/f2db05c52884e4d6c3894f5fd2cf10f0f686aec2/libpam/README.mdのドキュメントに従いましたが、次のように MFA を簡単にバイパスできるようです。
- 設定は .google_authenticator ファイルに保存されます
- 設定ファイルには、OTP トークンを受け取るために Google 認証アプリにアカウントを追加するために使用できる秘密鍵が含まれています
- .google_authenticator ファイルは、暗号化されたフォルダーの外にある必要があります。そうしないと、ログインできません。
- したがって、ルート シェルで直接起動する場合 (リカバリ)。ファイルから秘密鍵を取得できるため、2 番目の要素をバイパスできます。
したがって、次の質問があります。
- Google オーセンティケータのセットアップで何か不足していますか?
- オフラインで機能し、簡単にバイパスできないソリューションは他にありますか?