SSH通过“运维密码”小程序实现 SSH 双因子认证

最新推荐文章于 2025-01-14 09:59:31 发布
最新推荐文章于 2025-01-14 09:59:31 发布
阅读量1.1k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: Linux 文章标签: SSH双因子认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/change_can/article/details/84949993
本文详细介绍了如何在Linux系统上部署Google身份验证器作为双因子认证的一部分,包括安装依赖、配置服务器、生成动态口令及整合SSH服务的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、什么是双因子认证

GitHub:https://github.com/LCTT/WeApp-Password
双因子认证(即 2FA),是一种通过组合两种不同的验证方式进行用户身份验证的机制。
在这种多重认证的系统中,用户需要通过两种不同的认证程序:
(1)提供他们知道的信息(如用户名/密码)
(2)再借助其他工具提供用户所不知道的信息(如用手机生成的一次性密码)

二、目的

实现登录Linux 服务器时,除了输入用户名密码外,需要输入一次性的动态口令才能验证成功。

三、在 Linux 系统中安装 Google 身份验证器服务器端组件

生成动态口令的其中一个因素是时间,需要保持终端设备和服务器的系统时间一致,才能生成同一的动态口令
简单说下chrony:chrony 是网络时间协议的(NTP)的另一种实现,与网络时间协议后台程序(ntpd)不同,它可以更快地更准确地同步系统始终。

三、安装前准备

3.1、安装依赖

yum -y nstall gcc make pam-devel libpng-devel libtool wget git

3.2、添加阿里云epel源:

RHEL 6/Centos 6
wget O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo
RHEL 7/Centos 7
wget O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo

在 CentOS 上安装 Google 身份验证器服务器端组件,启用epel 之后,运行:

yum install google-authenticator

3.3、安装依赖

yum -y install gcc make pam-devel libpng-devel libtool wget git

3.4、安装Qrencode,谷歌身份验证器需要调用该程序生成二维码并显示

yum install -y qrencode

3.5、安装谷歌身份验证器

wget https://github.com/google/google-authenticator-libpam/archive/1.04.tar.gz
 #解压
tar zxvf 1.04.tar.gz
cd google-authenticator-libpam-1.04
 # 进行编译和安装
./bootstrap.sh && ./configure && make && make install

如果构建成功,你会在目录中看到 pam_google_authenticator. 和 和 google-authenticator 两个二进制文件。
在这里插入图片描述
3.6、使用以下命令生成验证密钥
google-authenticator
在这里插入图片描述
生成的二维码:
在这里插入图片描述
**3.7、**在二维码和密钥字符串后面,接着显示了一个当前的校验码和几个紧急密钥。紧急密钥你可以另行保存的一个安全的地方,以防你在无法使用 Google 身份验证器应用或“运维密码”时使用(紧急密钥是 8 位的,不同于普通的 6 位密钥,也是一次性使用的)。
在这里插入图片描述
保存 Google 服务器端组件的配置文件,Google 身份验证器虽然运行了,但是相关设置还没有保存,接下来会提示保存:
在这里插入图片描述
意思是:你想将配置文件更新到 /root/.google_authenticator 保存吗?输入 y 回车。

禁止同一令牌多次登录:
在这里插入图片描述
意思是:你是否要禁用同一密钥多次登录,这将限制你每 30 秒只能使用该密钥登录一次,但这能够让你可以更多地被提醒受到了中间人攻击,甚至能够防止这种攻击。输入 y 回车。

时间容错设置:
在这里插入图片描述
这个可根据实际情况进行配置,一般一分钟就足够了。输入 y回车。

暴力破解防护:
在这里插入图片描述
意思是:为了避免暴力破解,可以启用速率限制,默认情况下,每 30 秒只能尝试 3 次。输入 y回车

配置完成:
配置完成后会在home目录下生成一个权限为 400 的隐藏文件,如下图所示:
在这里插入图片描述
3.8、打开微信小程序:
打开微信,依次点击“发现”,“小程序”,输入“运维密码”并搜索。
点击“运维密码”进入应用,然后点击列表下方的“添加场景”。 这会调起“扫一扫”功能,请扫描配置 google-authenticator 时所生成的二维码,然后会识别出该场景信息,你可以根据需要修改场景信息,点击确定添加场景。
这样 Google 身份验证器就和“运维密码”匹配上了。下面我们要使 SSH 服务可以支持该验证。
3.9、配置SSH服务
添加认证模块
使用如下命令在 /etc/pam.d/sshd 文件添加认证模块
在这里插入图片描述
在 Centos 6.6 或更低的版本中如果遇到无法进行 google-authenticator 验证的情况,请将 auth required pam_google_authenticator.so放在 /etc/pam.d/sshd 文件的最顶端进行测试一下。

配置挑战式密码认证:
在这里插入图片描述

vim /etc/ssh/sshd_config
passwordAuthentication yes
ChallengeResponseAuthentication yes #配置挑战式密码认证 
UsePAM yes
systemctl restart sshd #重启 sshd 服务

切记:服务器时间都得一致,因为这个错误浪费了一些时间。
本文档在centos7-7.2上都测试成功了,不同的环境可能有些小的误差。
参考博客:http://blog.youkuaiyun.com/weifangan/article/details/73332029

提升Linux安全性:给主机添加ssh双因子认证
m0_37680131的博客
12-07 1331
在信息时代,服务器安全愈发成为首要任务。Linux主机通过ssh方式连接,当存在弱密码的情况下,通过暴力破解的方式会很容易就被攻破了,本文将向你展示如何通过Google Authenticator这一强大的双因素认证工具,当你ssh登录主机输入用户密码后,还需要通过手机客户端输入google动态验证码才能正常登录,通过真实案例教你配置。赶快转发给你的小伙伴用起来图片。
在Linux中为SSH设置双因素身份验证及取消
日常工作记录,解决实际问题,不成体系。
01-03 1012
执行以下命令初始配置,为指定用户启动Google Authenticator的配置。
通过微信小程序运维密码实现SSH双因子认证
03-29
近来,京东、优酷等多家知名企业都发生了密码泄露,造成用户隐私泄露。可见,单一密码对敏感和重要信息进行保护力量越来越弱,所面临的挑战亦是愈发严峻。因此业内对多重认证的呼声也越来越高,而其中的双因子认证得到了业界的普遍认可。本文主要介绍SSH双因子认证,结合了当下热门的微信小程序的“运维密码”,来实现认证保护。   双因子认证机制   对于网络信息系统来说,能否识别使用者的身份,是能否确保安全的基础和关键。在实际应用中,许多网络信息系统都会要求使用者在使用系统之前,提供一些相关信息用以实现对使用者的身份认证双因子认证(2FA)弥补了传统密码认证方法的很多弊端,是指结合密码以及实物(信用卡、SMS
Linux 小技巧:添加 SSH 双因子认证
Toasten
01-15 1192
Linux 主机通过 ssh 方式连接,当存在弱密码的情况下,通过暴力破解的方式会很容易就被攻破了,本文将向你展示如何通过 Google Authenticator 这一强大的双因素认证工具,当你 SSH 登录主机输入用户密码后,还需要通过手机客户端输入 Google 动态验证码才能正常登录,通过真实案例教你配置。同步 linux 时钟,默认动态验证码在 30 秒内有效,由于客户端和服务器可能会存在时间差,建议先同步时钟,防止和手机时间存在时间差导致无法登录。添加成功后,此验证码会动态刷新。
基于 SSH 双因素认证
GitChat
02-16 470
Linux 系统的远程管理服务 SSHSSH 被暴力破解是很麻烦的事情。作为 SSH 的安全性验证:包括密码认证,密钥认证。还有一种比较安全的认证方式,手机验证码加密码认证。 以下介绍基于手机验证码的双因素认证,提升 SSH 服务的安全性。只有输入正确的密码和手机验证码才能 SSH 登录。 配置中文源,提高下载速度 配置时间同步 软件包的安装 安装 Google 的开源软件包 修改配置文件 二...
配置 SSH 双因素认证
XMWS-IT
05-30 1120
​​​​​​运维工程师必备的认证【红帽liunx-RHCE 8】_XMWS_IT的博客-优快云博客_运维工程师考什么证书RHCE试听课程:linux系统下,用这个命令可以提高60%的工作效率https://mp.weixin.qq.com/s/pZVjMI1PLJzrA8hoPzkgMA红帽RHCE试听课程:如何快速实现对服务器密码爆破?https://mp.weixin.qq.com/s/JUpf8G86jvnNwvKLUfWcLQ红帽RHCE 8.0课程介绍一、目标学员为之前没有 Linux® 系..
运维密码为用户提供方便快捷的动态密码的微信小程序
08-10
运维密码:为用户提供方便快捷的动态密码的微信小程序
SSH 安全加固篇:通过“运维密码小程序实现 SSH 双因子认证 ...
03-29
本文讲述了如何通过 Linux中国 所开发的微信小程序运维密码实现在 Linux 系统上 OpenSSH 双因子认证,从而对 SSH 进行安全加固。       背景 近来很多知名企业都出现了密码泄露,通过单一的密码对敏感和重要...
解决 iDRAC paramiko库 ssh 密码登录 键盘交互身份验证的问题
caca_66的博客
07-28 687
键盘交互认证是一种服务器向客户端发送提示,客户端以交互方式响应的认证方法。这与标准的密码认证不同,标准认证中只需输入一次密码即可。在某些配置下,Dell的iDRAC需要这种方法来进行SSH认证,通常是由于安全策略或特定的固件设置所致。在通过SSH访问Dell的iDRAC(集成戴尔远程访问控制器)时,标准的密码验证方法失败。这种方法提供了一种处理需要键盘交互SSH认证的系统的脚本交互方式。通过使用这些技术,即使在需要非标准认证方法的系统上,也可以实现对iDRAC的自动化SSH访问。
SSH登录建立双因子验证机制(谷歌身份验证器)
热门推荐
bwlab的博客
05-05 1万+
原文:https://support.google.com/accounts/answer/1066447?hl=en 译文:http://netsecurity.51cto.com/art/201305/392443.htm 文章我就不拷贝了,直接上个工具链接,因为有的直接下载不了 工具: 谷歌身份验证器 http://pan.baidu.com/s/1qYkpVGw libpam-g
SSH(源码小程序)
06-09
自己做的小程序,希望能给大家带来帮助,因原文件过大,所以里面的jar包没有加入,请大家自已加入既可
ssh框架小程序
01-22
struts1+spring+hibernate
SSH实现的登录小程序
10-25
一个用struts2+hibernate+spring开发的小程序,练手用的
ssh框架实现的登录小程序
01-11
struts2+spring+hibernate开发的登录小程序,非常简单,我也是初学者,供初学jsp的童鞋参考
基于LinuxPAM机制的双因素身份认证系统的设计
09-16
基于LinuxPAM机制的双因素身份认证系统的设 李 更 深  王 丽 芳  蒋 泽 军  北 工 业 大 学计 算 机 学 院 摘  要 : 针 对 传 统 Linux操 作 系统 的本 地 登 录 方 式 和 网络 远 程 访 问 的 安 全 性 讲解
Linux 利用Google Authenticator实现ssh登录双因素认证
weixin_33695450的博客
04-12 388
原文地址https://www.cnblogs.com/tiannan/p/6238832.html1.介绍双因素认证:双因素身份认证就是通过你所知道再加上你所能拥有的这二个要素组合到一起才能发挥作用的身份认证系统。双因素认证是一种采用时间同步技术的系统,采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥,该密钥同时存放...
Linux安全加固之:SSH开启双因子认证--基于TOTP方式
weixin_43441262的博客
05-21 1505
2:在移动端点击右上角加号,扫一扫扫码。扫码完成后出现一个新的“令牌”。3:此时会接着出来一些其它配置。一般来说无脑 y 就可以。可以看到,我们除了输入密码外,还要输入一次性验证码。
SSH 登录添加 Google Authenticator 两步验证 双因子认证
All of my life is programming!
03-30 8998
SSH 登录添加 Google Authenticator 两步验证 双因子认证
运维密码微信小程序:安全便捷的动态密码管理工具
gitblog_00761的博客
01-14 428
运维密码微信小程序:安全便捷的动态密码管理工具 运维密码微信小程序是一款使用JavaScript开发的微信小程序。该项目旨在为用户提供一个方便快捷的动态密码管理解决方案,让用户能够在不联网的情况下安全地生成和备份动态口令。 核心功能 本地计算动态口令:用户无需联网即可在微信小程序内计算动态口令,保证了使用场景的广泛性和安全性。 本地备份动态口令:动态口令可以本地备份,用户不用担心口令丢失,同时本...
运维项目堡垒机
最新发布
03-26
### 运维项目中堡垒机的最佳实践 #### 堡垒机的作用与意义 在运维项目中,堡垒机是一种集中化访问管理和审计的安全设备。它能够有效提升企业的安全性并简化合规性需求。通过堡垒机,可以实现对服务器和其他 IT 资产的统一管理、身份认证以及行为记录。 #### 部署配置方案 对于 JumpServer 堡垒机的具体部署流程,可以通过 Docker 来快速搭建环境。以下是其核心要点: - 使用官方镜像构建容器实例,确保基础架构稳定运行。 - 将必要的服务组件(如 Redis 和 MySQL 数据库)集成到同一网络空间下以便于数据交互[^2]。 ```bash docker run --name jms -d \ -p 2222:2222 -p 8080:8080 jumpserver/jumpserver-all-in-one:v2.9.0 ``` 此命令启动了一个包含所有必要功能模块的一体化版本 JumpServer 实例,并开放了 Web 控制台端口 (8080) 及 SSH 登录转发端口 (2222)。 #### 用户角色定义及权限划分 为了满足不同人员的工作职责,在 JumpServer 中设置了多种预设好的用户类别——管理员账户负责整体系统的维护;普通工程师仅限执行日常任务而无修改配置的能力;第三方供应商则被严格限制只能接触特定范围内的目标主机资源[^4]。 此外还支持多因子验证(MFA),进一步增强了登录过程中的安全保障措施。如果遇到忘记绑定手机或者丢失硬件令牌等情况,则需按照既定规程申请解除当前关联状态后再重新设定新的二次校验方式[^3]。 #### 安全策略制定 建立完善的安全管理制度至关重要,这不仅涉及技术层面的操作规范,还包括组织内部的文化建设和员工培训等方面的内容。具体来说: 1. **强密码规则**: 强制要求每位使用者设立复杂度较高的个人专属密钥组合; 2. **定期轮换凭证信息**: 对长期有效的静态凭据实行周期性的更换计划; 3. **细粒度授权机制**: 根据实际业务场景灵活调整各组别的可操作对象列表; 4. **详尽日志保留期限规定**: 明确指出各类事件发生后的追踪时限长度及其存储位置等细节描述。 以上这些方面共同构成了一个全方位防护体系框架下的重要组成部分之一 —— 即所谓的 “纵深防御”。 ### 结论 综上所述,采用合适的工具配合科学合理的管理办法可以帮助企业在保障网络安全的同时提高工作效率。JumpServer 提供了一套完整的解决方案来应对上述挑战,从最初的安装调试到最后上线投入使用都给出了清晰易懂的操作指导手册。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值