我正在尝试在我的ubuntu机器上实现2FA登录以增加安全性以及加密的主文件夹 . 我已经按照google的GitHub存储库https://github.com/google/google-authenticator/blob/f2db05c52884e4d6c3894f5fd2cf10f0f686aec2/libpam/README.md上的文档进行了操作,但在我看来,您可以轻松绕过MFA:
-
设置保存在.google_authenticator文件中
-
设置文件包含您可以用来将帐户添加到Google身份验证器应用以接收OTP令牌的密钥
-
.google_authenticator文件必须位于加密文件夹之外,否则您将无法登录
-
因此,如果您直接启动到root shell(恢复) . 您可以从文件中获取密钥,从而绕过第二个因素 .
因此,我有以下问题:
-
am我在google authenticator设置中遗漏了什么?
-
有没有其他解决方案可以脱机工作,不能轻易绕过?
1 回答
有一个原因,原因就像你上面提到的那样 - >恢复 . 因此,除了2FA的范围之外,您没有遗漏任何内容:是的,如果您可以直接访问服务器,它可以被绕过,但它可以完全保证远程访问(SSH) . 不幸的是,没有办法不允许这样做 .