linux-ssh + google authenticator双因子认证

于 2025-01-12 11:07:56 发布
阅读量660 收藏 1
点赞数 18
CC 4.0 BY-SA版权
分类专栏: linux 文章标签: linux ssh 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gujimoxiao/article/details/145089854

一. 简述: 

随着业务的发展, 人员的增多,一套合理的权限管理方案是必不可少的,通常情况下,为了安全,便于管理,我们都会配置一组跳板机作为登录入口。这里简单聊聊登录跳板机的方式。 

  在业界,不同的公司,可能使用不同的跳板机认证方式,通常有以下几种: ssh(key/pass)、kerberos、ldap、自己开发pam模块等。。

也有一些公司通过几种认证方式进行组合式进行认证(如kerberos+ldap+google auth等)。

根据实际环境,我们采用了ssh-key + google auth组合的方案。

二. 部署:

安装相关工具包:

#yum install -y git automake libtool pam-devel
#yum -y install wget gcc make pam-devel libpng-devel



安装chrony 实际同步工具:

#yum install -y chrony
#vim /etc/chrony.conf 
 
#/etc/init.d/chrony start
#chkconfig --add chrony
#chkconfig --level 3 5 chrony
#chkconfig chrony on


安装二维码生成工具(非必须):
#wget -c http://fukuchi.org/works/qrencode/qrencode-3.4.4.tar.gz
#tar fxvz qrencode-3.4.4.tar.gz 
#cd qrencode-3.4.4
# ./configure 
#make && make install


安装google认证工具:
#git clone https://github.com/google/google-authenticator-libpam.git
#cd google-authenticator-libpam/
#./bootstrap.sh 
#./configure 
#make && make install
#ln -sv  /usr/local/lib/security/pam_google_authenticator.so /lib64/security/pam_google_authenticator.so

三. 配置:

1. 修改sshd_config, 令其支持google auth

vim /etc/ssh/sshd_config

Port 22
SyslogFacility AUTHPRIV
LogLevel INFO
AuthenticationMethods keyboard-interactive,publickey
PermitRootLogin yes
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
ChallengeResponseAuthentication yes
UsePAM yes
X11Forwarding yes
PrintLastLog yes
PasswordAuthentication no

2. vim /etc/pam.d/sshd 

# cat /etc/pam.d/sshd 
auth       required     pam_google_authenticator.so
auth	   required	pam_sepermit.so
#auth       substack     password-auth
auth       include      postlogin

/etc/init.d/sshd restart

3. 生成google auth 的key

# google-authenticator

4. 安装谷歌身份验证器,通过google auth 的key生成 实时的6位数验证码。

也可以安装google浏览器插件的方式; 

快速接入Google双因素认证Google Authenticator
weixin_42144712的博客
08-01 1336
下载手机端App:谷歌的Google Authenticator或者微软的Microsoft Authenticator
Linux安全加固之:SSH开启双因子认证--基于TOTP方式
weixin_43441262的博客
05-21 1457
2:在移动端点击右上角加号,扫一扫扫码。扫码完成后出现一个新的“令牌”。3:此时会接着出来一些其它配置。一般来说无脑 y 就可以。可以看到,我们除了输入密码外,还要输入一次性验证码。
Linux 之 利用Google Authenticator实现用户双因素认证
qq_40907977的博客
03-12 1240
一、介绍:什么是双因素认证 双因素身份认证就是通过你所知道再加上你所能拥有的这二个要素组合到一起才能发挥作用的身份认证系统。双因素认证是一种采用时间同步技术的系统,采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时动态密码卡与服务器分别根据同样的密钥,同样的随机参数(时间、事件)和同样的算法计算了认证的动态密码,从而确保密码的一致性,从而实现了用户的认证。 说白了,就像我们几年前去银行办卡送的口令牌,以及网易游戏中的
Linux下部署SSH登录时的二次身份验证环境记录(利用Google Authenticator
是你静香不够骚还是我大雄不行了
11-01 867
为了安全着想,可以使用GoogleAuthenticator(谷歌身份验证器),以便在账号和密码之间再增加一个验证码,只有输入正确的验证码之后,再输入密码才能登录。size of 1:30min to about 4min. Do you want to do so (y/n) n #默认动态验证码在30秒内有效,由于客户端和服务器可能会存在时间差,可将时间增加到最长4分钟,是否要这么做:这里选择是n,继续默认30秒。然后再次连接的时候,就会提示先输入二次身份验证码,再输入用户密码。
SSH 登录添加 Google Authenticator 两步验证 双因子认证
All of my life is programming!
03-30 8918
SSH 登录添加 Google Authenticator 两步验证 双因子认证
如何提升Linux环境安全性?添加SSH双因子验证机制!
qq_73565045的博客
05-23 369
在当今信息化社会,确保服务器安全已成为至关重要的任务。特别是使用Linux系统的主机,通过SSH协议进行远程连接时,若配置了弱密码,极易遭受暴力破解攻击。本文旨在阐述如何利用Google Authenticator这一高效的双因素认证机制,增强SSH登录的安全性。具体而言,用户在输入常规密码后,还需通过手机上的Google Authenticator应用输入即时生成的动态验证码,方可成功登录。接下来,我们将通过实际案例详细介绍配置过程。
SSH+Google双重验证_HTTP协议_*WindTerm的使用
sq2048935747@163.com的博客
08-28 1682
Google Authenticator是一种基于时间的一次性密码(TOTP)生成器。它通过手机应用生成短时间内有效的验证码,增加了额外的安全层。
提升Linux安全性:给主机添加ssh双因子认证
m0_37680131的博客
12-07 1309
在信息时代,服务器安全愈发成为首要任务。Linux主机通过ssh方式连接,当存在弱密码的情况下,通过暴力破解的方式会很容易就被攻破了,本文将向你展示如何通过Google Authenticator这一强大的双因素认证工具,当你ssh登录主机输入用户密码后,还需要通过手机客户端输入google动态验证码才能正常登录,通过真实案例教你配置。赶快转发给你的小伙伴用起来图片。
Linux 之 利用Google Authenticator实现用户双因素认证_google authenticator linux
2301_76225520的博客
04-26 276
这步✌也可以省略,如果不装的话,因为下一步生成的二维码就会成一个链接,到时将链接复制到你的浏览器中,也是可以出现二维码的,到时利用智能手机打开google author 进行扫描。下面是安装并修改chronyd的配置文件添加(大概是第6行后)国内比较好用的ntp服务器:https://www.pool.ntp.org/zone/cn。运行google-authenticator 命令,它将会在当前登陆用户的家目录中生成一个新的密钥()**修改方法:**创建软链接即可,必须创建,或者直接复制过去也可。
Linux中为SSH设置双因素身份验证及取消
日常工作记录,解决实际问题,不成体系。
01-03 978
执行以下命令初始配置,为指定用户启动Google Authenticator的配置。
pam模块及搭建私有时间服务器
黑乎乎的小升
05-11 316
如果/var/run/nologin和/etc/nologin文件存在,将导致非root用户(普通用户)不能登陆,当该用户登陆时,会显示/etc/nologin文件内容,并拒绝登陆,如需不让该模块生效,注释掉有使用该模块的程序中的相关行即可可用于更新时使用日志文件/var/log/secure记录sudo一些相关安全日志信息。
google认证配置说明
xuejinliang的专栏
08-09 2551
google认证配置说明 在服务器的登陆过程中,可以使用google认证的方式来加强服务器的安全。下面简单的介绍下google-authenticator的使用方法。 1、安装 在安装之前解决掉相关的依赖 yum -y install epel* yum -y install pam-devel 下载google-authenticator-master.zip文件。 利用rz上传到
linux google Authenticator
一个大呲花的博客
12-12 701
linux google Authenticator yum install -y chrony vim /etc/chrony.conf server 0.centos.pool.ntp.org iburst server 1.centos.pool.ntp.org iburst server 2.centos.pool.ntp.org iburst server 3.centos.pool.n...
python ssh登录网络设备_Linux下使用pam_python实现SSH双因子认证登录
weixin_32297123的博客
12-23 693
Linux下使用pam_python实现SSH双因子认证登录.md关键字Linux PAM Python SSH 2 Two Multi Factor Authentication Login 双因子 多因子 密保 TOKEN 一次性口令 PASSPOD OTP yubikey 认证 安全 登录引言Linux系统管理员(System Administrator,SA)经常碰到的问题就是放在公网的...
双因子认证2FA替换Google authenticator谷歌令牌,助力准上市公司实现等保安全审计
yuzijiang11111的博客
12-27 1298
宁盾双因子认证助力准上市公司满足安全审计要求,替换Google Authenticator 谷歌令牌实现合规。
Linux服务器实现Google Authenticatorssh认证
linxi7的博客
01-16 1621
现在的服务器(一般是堡垒机)为了保证安全,通常会采用双认证+防火墙的形式。双身份认证就是通过你所知道再加上你所能拥有的这二个要素组合到一起才能发挥作用的身份认证系统。双认证是一种采用时间同步技术的系统,采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时动态密码卡与服务器分别根据同样的密钥,同样的随机参数(时
谷歌双因子认证漏洞:不需要令牌就可以禁用
lxaqycc的博客
09-25 414
以下文章转自InfoQ,作者:Alex Blewitt,译者:无名 若干天前,Amos(@fasterthanlime)遭遇了黑客的密码攻击,被偷了几百欧元。攻击者之所以可以得逞,是因为他可以关闭 password.google.com 的双因子身份验证,无需通过双因子身份验证机制来确认身份,导致双因子身份验证失去了意义。此外,随后的调查显示,存储在 password.google.com 中的密码很容易被提取,说明该服务在安全性方面存在很大的问题。InfoQ 已经联系了谷歌的安全工程师,他们做出了回应,在
Linux系统使用OTPW实现双因子认证
weixin_33949359的博客
09-10 1903
otpw主要有以下几个优点: 1、前缀密码+一次性随机码,相当于双重加密。就算随机码列表泄露,没有前缀密码也是无用 2、如果一次没登录成功,会启用三重随机码,要破解那是非常困难 3、用户目录下保存密码的文件可通用,适合批量部署 step1:安装otpw 环境:Oracle Linux Server release 6.4 2.6.39-400.17.1....
google-authenticator
cnbird's blog
10-04 4364
http://code.google.com/p/google-authenticator/ http://blog.knownsec.com/2012/05/ssh-otp-%E8%AE%A4%E8%AF%81/ 在前一篇 blog 的最后提到了采用 OTP + 密码作为 SSH认证方案以保证安全性,这里就简单描述一下实现方案。我们采用的软件是 Google Authenticator
ukui 如何实现多因子登陆,自定义多因子登陆,如自己的otp 登陆
最新发布
03-22
<think>好的,用户问的是如何在UKUI环境下实现多因子登录,特别是自定义OTP登录。首先,我需要确认UKUI是否原生支持多因子认证。UKUI是一个基于Linux的桌面环境,通常在Ubuntu Kylin等发行版中使用。多因子认证(MFA)通常在系统层面的PAM(Pluggable Authentication Modules)配置中实现,而不是桌面环境本身。所以,用户可能需要通过配置Linux系统的PAM模块来启用MFA。 接下来,用户提到自定义OTP,比如自己的OTP系统。常见的OTP工具有Google Authenticator,但用户可能希望使用自己开发的或其他第三方OTP解决方案。这里需要考虑如何将自定义的OTP集成到PAM中。可能需要编写或使用现有的PAM模块,或者修改现有模块的配置。 首先,需要确保系统安装了必要的PAM模块。例如,Google Authenticator的PAM模块是libpam-google-authenticator。如果用户有自己的OTP,可能需要类似的自定义PAM模块。这可能涉及到开发一个PAM模块来处理OTP验证,这需要一定的编程知识,特别是C语言,因为PAM模块通常用C编写。 然后,配置PAM文件。在/etc/pam.d/目录下的相关配置文件(如common-auth或sshd)中添加对OTP模块的引用。配置时需要确定认证的顺序,是作为主要因素还是次要因素。例如,先密码认证,然后OTP,或者两者组合。 对于自定义OTP,如果用户有自己的验证逻辑,可能需要修改现有的PAM模块,或者创建一个新的模块。这可能比较复杂,需要了解PAM的工作流程和开发规范。另外,用户可能需要生成和管理OTP密钥,这通常涉及到将密钥与用户账户关联,并在登录时进行验证。 测试环节也很重要。在应用配置之前,应该保持一个活跃的SSH会话,以防止配置错误导致无法登录。然后,通过新会话测试登录流程,确保密码和OTP的顺序正确,并且自定义的OTP验证逻辑有效。 可能遇到的问题包括PAM配置错误导致登录失败,OTP生成或验证逻辑不正确,或者密钥管理问题。这时候需要查看系统日志(如/var/log/auth.log)来排查错误。 最后,安全性方面需要注意密钥的安全存储和传输,防止中间人攻击,以及备份密钥以防丢失。同时,用户教育也很重要,确保用户了解如何正确使用OTP进行登录。 总结来说,实现步骤大致是:安装必要的PAM模块,配置PAM文件以启用多因子认证,处理自定义OTP的集成(可能需要开发自定义模块),生成和管理OTP密钥,测试配置,并确保安全性。用户需要有一定的系统管理经验,特别是在处理PAM配置和可能需要的模块开发时。如果用户不熟悉这些,可能需要寻求更详细的文档或专业帮助。</think>### UKUI 实现多因子登录(包括自定义OTP)的步骤指南 #### 1. **理解多因子认证(MFA)的底层依赖** UKUI 作为桌面环境,其登录认证依赖 Linux 系统的 **PAM(Pluggable Authentication Modules)** 框架。多因子登录需通过配置 PAM 实现,而非 UKUI 自身功能。 --- #### 2. **基础环境准备** - **安装依赖工具**: ```bash sudo apt update sudo apt install libpam-google-authenticator # 示例:Google Authenticator的PAM模块 ``` - **自定义OTP场景**: - 若需自定义OTP(如私有算法),需开发适配的 **PAM模块**(需C语言基础)。 - 或使用开源替代方案(如 `oathtool` + 脚本集成)。 --- #### 3. **配置PAM实现多因子认证** - **编辑PAM配置文件**(以SSH登录为例): ```bash sudo nano /etc/pam.d/sshd # 或修改其他登录类型(如gdm3、lightdm) ``` - **添加OTP认证层**(示例配置): ```plaintext # 原始密码认证行(通常已存在) auth required pam_unix.so # 添加OTP作为第二因子 auth required pam_google_authenticator.so ``` --- #### 4. **自定义OTP集成(以脚本为例)** - **场景**:使用 `oathtool` 生成OTP,替代Google Authenticator- **步骤**: 1. **生成密钥并绑定用户**: ```bash # 生成密钥文件 mkdir -p ~/.otp_keys head -c 16 /dev/urandom | base32 > ~/.otp_keys/user_otp_secret ``` 2. **创建PAM脚本** (`/usr/local/bin/custom_otp_verify.sh`): ```bash #!/bin/bash USER=$1 OTP_CODE=$2 SECRET=$(cat /home/$USER/.otp_keys/user_otp_secret) EXPECTED_CODE=$(oathtool --totp -b $SECRET) [ "$OTP_CODE" = "$EXPECTED_CODE" ] && exit 0 || exit 1 ``` 3. **配置PAM调用脚本**: ```plaintext auth required pam_exec.so quiet /usr/local/bin/custom_otp_verify.sh $USER ``` --- #### 5. **用户端密钥初始化** - **为每个用户生成OTP密钥**: ```bash # 管理员操作:初始化用户密钥 sudo -u username bash -c 'head -c 16 /dev/urandom | base32 > ~/.otp_keys/user_otp_secret' # 用户扫码或手动输入密钥到OTP客户端(如FreeOTP) ``` --- #### 6. **测试与验证** - **保持救援会话**: ```bash sudo systemctl start ssh # 确保SSH备用连接可用 ``` - **触发登录测试**: ```bash ssh username@localhost # 输入密码后应提示OTP ``` --- #### 7. **安全加固建议** - **密钥保护**: ```bash chmod 600 ~/.otp_keys/user_otp_secret # 限制文件权限 ``` - **备用验证方式**: - 预生成一组备用码,保存在安全位置。 --- ### 自定义开发说明(如需私有协议) 1. **编写PAM模块**(C语言): - 参考 [Linux-PAM模块开发文档](http://www.linux-pam.org/Linux-PAM-html/Linux-PAM_SAG.html) - 核心函数:`pam_sm_authenticate()` 实现OTP验证逻辑。 2. **编译与部署**: ```bash gcc -fPIC -shared -o pam_custom_otp.so pam_custom_otp.c -lpam sudo cp pam_custom_otp.so /lib/security/ ``` --- ### 常见问题排查 - **日志检查**: ```bash tail -f /var/log/auth.log # 实时查看认证错误 ``` - **PAM调试模式**: ```plaintext auth debug pam_google_authenticator.so # 添加debug参数 ``` --- 通过以上步骤,UKUI 可灵活支持密码+OTP的多因子登录,自定义OTP需结合脚本或开发适配模块实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值