浅谈服务器设置"双子验证"

最新推荐文章于 2025-05-10 17:21:55 发布
原创 最新推荐文章于 2025-05-10 17:21:55 发布 · 836 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux初学

本文介绍了一种增强服务器安全性的方法——双因素认证,通过结合Google Authenticator和SSH密钥,为服务器访问提供双重保护。文章详细讲解了安装配置过程及如何在Xshell中实现。

浅谈服务器设置"双子验证"

双子验证
   为了保证连接服务器的安全,一般都是选择用xshell配合公钥的手法来访问,但是这个也存在私钥失窃的风险,为了保证数据安全,再加一层验证手段。

  • 双子验证包含:
    • 基于时间的一次性密码Time-based One-time Password(TOTP)算法。Google Authenticator 用作服务器应用程序
    • 基于SSH协议的xshell密钥访问

Google Authenticator

  • 安装Google Authenticator
    yum -y install Google Authenticator

  • 运行应用程序
    google-authenticator

  • 提供了二维码连接以及超级数字密码

[root@Centos6 ~]#google-authenticator 
https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/root@Centos6.localdomain%3Fsecret%3DB2OLIRUTI4P72DP6
Your new secret key is: B2OLIRUTI4P72DP6
Your verification code is 796823
Your emergency scratch codes are:
  86797884
  13337815
  76420985
  59997949
  46300756
  • 这个应用程序为你提供一个密钥、验证码和恢复码。把它们放在安全的地方。如果你丢失了手机,恢复码是访问服务器的唯一方式。
  • 该应用程序提供了一系列问题。下面的片段展示了如何进行合理的安全设置:
Do you want authentication tokens to be time-based (y/n) y
Do you want me to update your "/home/user/.google_authenticator" file (y/n)? y
  • 设置手机验证
  • 在你的手机上安装验证器应用程序(FreeOTP)。Google Authenticator 会在屏幕上显示一个二维码。打开手机上的 FreeOTP 应用程序,选择添加新账户,在应用程序顶部选择二维码形状工具,然后扫描二维码即可。设置完成后,在每次远程连接服务器时,你必须提供验证器应用程序生成的随机数。
  • 编辑服务端的sshdpam模块
    • vim /etc/pam.d/sshd
    • sed -i '1a\auth required pam_google_authenticator.so' /etc/pam.d/sshd 添加下行保存

配置SSH的密钥验证

  • 先用xshell跟服务器建立一个连接
  • 在xshell里面生成密钥对
    在这里插入图片描述
  • 把生成的公钥文件传给服务器端
    cat id_rsa.pub >> /root/.ssh/auauthorized_keys
    chmod 600 authorized_keys
  • 修改服务端配置文件/etc/ssh/sshd_config
    sed -i 's/.*ChallengeResponseAuthentication.*/ChallengeResponseAuthentication yes/' /etc/ssh/sshd_config
    sed -i 's/.*PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
  • 重启sshd服务
    systemctl restart sshd

一键配置Google Authenticator脚本

#安装epel
yum install -y epel-release.noarch 
yum makecache 
#安装google authenticator
yum install -y google-authenticator.x86_64


echo -e "\033[31mDo you want me to update your "/root/.google_authenticator" file? (y/n) y"
echo -e "\033[31m你希望我更新你的“/root/.google_authenticator”文件吗(y/n)?\033[0m"
echo -e "\033[31mDo you want to disallow multiple uses of the same authentication"
echo -e "\033[31mtoken? This restricts you to one login about every 30s, but it increases"
echo -e "\033[31myour chances to notice or even prevent man-in-the-middle attacks (y/n) y"
echo -e "\033[31m你希望禁止多次使用同一个验证令牌吗?这限制你每次登录的时间大约是30秒, 但是这加大了发现或甚至防止中间人攻击的可能性(y/n)?\033[0m"
echo -e "\033[31mBy default, a new token is generated every 30 seconds by the mobile app."
echo -e "\033[31mIn order to compensate for possible time-skew between the client and the server,"
echo -e "\033[31mwe allow an extra token before and after the current time. This allows for a"
echo -e "\033[31mtime skew of up to 30 seconds between authentication server and client. If you"
echo -e "\033[31mexperience problems with poor time synchronization, you can increase the window"
echo -e "\033[31mfrom its default size of 3 permitted codes (one previous code, the current"
echo -e "\033[31mcode, the next code) to 17 permitted codes (the 8 previous codes, the current"
echo -e "\033[31mcode, and the 8 next codes). This will permit for a time skew of up to 4 minutes"
echo -e "\033[31mbetween client and server."
echo -e "\033[31mDo you want to do so? (y/n) y"
echo -e "\033[31m默认情况下,令牌保持30秒有效;为了补偿客户机与服务器之间可能存在的时滞,\033[0m"
echo -e "\033[31m我们允许在当前时间前后有一个额外令牌。如果你在时间同步方面遇到了问题, 可以增加窗口从默认的3个可通过验证码增加到17个可通过验证码,\033[0m"
echo -e "\033[31m这将允许客户机与服务器之间的时差增加到4分钟。你希望这么做吗(y/n)?\033[0m"
echo -e "\033[31mIf the computer that you are logging into isn't hardened against brute-force"
echo -e "\033[31mlogin attempts, you can enable rate-limiting for the authentication module."
echo -e "\033[31mBy default, this limits attackers to no more than 3 login attempts every 30s."
echo -e "\033[31mDo you want to enable rate-limiting? (y/n) y"
echo -e "\033[31m如果你登录的那台计算机没有经过固化,以防范运用蛮力的登录企图,可以对验证模块\033[0m"
echo -e "\033[31m启用尝试次数限制。默认情况下,这限制攻击者每30秒试图登录的次数只有3次。 你希望启用尝试次数限制吗(y/n)?\033[0m"
echo -e "\033[32m 在App Store 搜索Google Authenticator 进行App安装 \033[0m"


google-authenticator


#/etc/pam.d/sshd文件,修改或添加下行保存
#auth required pam_google_authenticator.so
sed -i '1a\auth       required     pam_google_authenticator.so' /etc/pam.d/sshd
#编辑/etc/ssh/sshd_config找到下行
#ChallengeResponseAuthentication no
#更改为
#ChallengeResponseAuthentication yes
sed -i 's/.*ChallengeResponseAuthentication.*/ChallengeResponseAuthentication yes/' /etc/ssh/sshd_config

#重启SSH服务
service sshd restart


**完**
lpb2019
关注
双因素认证教程 - 阮峰服务器
XsiJava的博客
10-01 277
现在,每次登录时,您都需要提供密码和 Google Authenticator 应用程序中的验证码。现在,每次登录时,您都需要提供密码和 Google Authenticator 应用程序中的验证码。您可以使用手机上的 Google Authenticator 应用程序扫描该二维码,或手动将密钥输入应用程序中。您可以使用手机上的 Google Authenticator 应用程序扫描该二维码,或手动将密钥输入应用程序中。请记住,如果您丢失了手机或无法提供正确的验证码,您可能会被锁定在服务器外部。
精选资源
双子-iptv.TV直播系统服务器系统
03-04
双子-IPTV.TV直播系统服务器系统详解】 IPTV(Internet Protocol Television)即交互式网络电视,是一种利用互联网协议传输电视内容的技术。它将传统的电视广播服务与互联网技术相结合,为用户提供实时电视、视频...
如何在服务器中实现双因子认证?
2409_89014517的博客
01-24 1941
服务器中实现双因子认证(Two-Factor Authentication, 2FA)通常涉及多个步骤和配置,具体实现方法可能因服务器类型、操作系统以及所使用的认证服务而有所不同。需要注意的是,具体的实现步骤和配置方法可能因你使用的服务器类型、操作系统和认证服务而有所不同。因此,在实施双因子认证之前,建议你详细阅读相关文档和指南,并根据你的实际需求进行配置和测试。因此,在实施双因子认证之前,你需要与用户进行沟通,确保他们了解双因子认证的重要性和使用方法。
服务器双因素认证微软Ad,12-双因素认证(MIX)配置举例
weixin_42400518的博客
08-05 1868
双因素认证(MIX)是指,将运维审计系统已有的认证方式(本地认证、ldap认证、radius认证、TOTPMobile认证)两两组合的一种更高强度的认证方式。被组合的两种认证方式可以是逻辑关系上的“与”“或”关系。“与”代表两种验证方式都验证成功,才能登录成功,“或”代表两种验证方式有一种成功,就能登录成功。准备两种运维审计系统已有的认证方式。其中第一身份验证方式只能是本地认证、ldap认证、ra...
Linux安全加固之:SSH开启双因子认证--基于TOTP方式
weixin_43441262的博客
05-21 1693
2:在移动端点击右上角加号,扫一扫扫码。扫码完成后出现一个新的“令牌”。3:此时会接着出来一些其它配置。一般来说无脑 y 就可以。可以看到,我们除了输入密码外,还要输入一次性验证码。
如何为登录和 sudo 设置双因子认证
weixin_33720078的博客
05-02 309
安全就是一切。我们生活的当今世界,数据具有令人难以置信的价值,而你也一直处于数据丢失的风险之中。因此,你必须想尽办法保证你桌面系统和服务器中数据的安全。结果,管理员和用户就会创建极其复杂的密码、使用密码管理器甚至其它更复杂的东西。但是,如果我告诉你你可以只需要一步,至多两步就能登录到你的 Linux 服务器或桌面系统中呢?多亏了Google 身份验证器...
rhea:双子服务器
03-17
开发者可以通过配置文件来调整服务器的行为,比如设置监听的端口、证书信息、日志级别等。虽然在当前的描述中没有具体的配置示例,但通常Go语言中的服务会使用JSON或 TOML 格式的配置文件。开发者可以期待Rhea提供一...
精选资源
双子星IPTV全套源码
05-18
这可能是为了指导用户如何部署和配置双子星IPTV系统,可能涉及服务器环境搭建(如Linux服务器管理、Nginx配置)、数据库安装(如MySQL或MongoDB)等。 4. **双子星后台源码.zip**:这是系统后台管理部分的源代码,...
广达双子星2015bios及主板驱动.zip
05-28
"广达双子星2015bios及主板驱动.zip" 这个标题表明这是一个压缩包文件,其中包含了2015年版本的广达双子星主板的BIOS固件更新和相应的主板驱动程序。"广达双子星"指的是广达公司生产的双子星系列主板,而"x79"是指该...
双子星-iptv.rar
10-26
确保安全性的前提下,这些信息对于快速验证系统是否正常运行非常有用。然而,为了系统的安全性,强烈建议在实际环境中更改默认密码。 最后,“szx-iptv”可能是另一份源码或相关配置文件,其具体作用需要解压后查看...
服务器验证网址,Nginx服务器设置网站验证访问的方法
weixin_34915171的博客
07-31 611
为网站目录设置访问验证之后我们就是进入此页面都需要输入验证密码才可以,下面我来介绍nginx中配置目录访问验证码方法总结。1、创建类htpasswd文件执行:wget -c soft.vpser.net/lnmp/ext/htpasswd.sh;bash htpasswd.sh按提示输入用户名、密码、及认证文件名。脚本会自动生成认证文件。记录下脚本返回的文件路径。如:/usr/local/ngin...
【新教程】Linux服务器ssh启用两步验证
整数浮点
05-10 609
服务器被恶意破解的事件层出不穷,一旦被破解就比较麻烦。不如提前通过简单的措施——增加两步验证,来大大增强服务器的安全性。如果按照上述步骤不能正常登录,请先检查使用的ssh软件,使用xshell或者termius甚至使用系统自带的终端,看能否顺利登录。上述区别在于,如果没有配置验证器,还能否登录。前者如果没有配置验证器还可以登录,后者就无法登陆了,必须配置验证器。在配置完成后,之后每次登录都需要先输入验证码,然后再输入密码。8、重启ssh服务,使上述配置生效。3、回答显示的问题,默认y就可以。
解决linux中无法使用root用户ssh远程登录的问题(即登录界面显示为root,但是登录的用户名却是其他的XXX)
m0_74386218的博客
12-16 3413
找到上图的PermitRootLogin,将其改为yes并去掉前面的#号,保存退出(插入为i,保存退出为esc + : wq)
手把手教你给 SSH 启用二次身份验证
easylife206的专栏
11-29 1624
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !每日言论年轻时,我犯的最大错误,就是没有及时离职。我以为我必须向公司证明自己,然后再离开,但这其实没有任何...
谷歌动态验证码二次验证ssh
leopaocao_1的博客
04-17 2144
            谷歌动态验证码二次验证ssh #!/bin/bash ( [ sestatus |grep dis|wc -l -eq 2 ] || sed -i ‘s/SELINUX=enforcing/SELINUX=disabled/’ /etc/selinux...
PAM认证机制
顺其自然~专栏
03-02 2654
其他数据库将仅从文件中获取。PAM 模块可以提供各种类型的身份验证,例如基于密码的身份验证、基于证书的身份验证、双因素身份验证等。2.passwd开始调用PAM模块,PAM模块会搜寻passwd程序的PAM相关设置文件,这个设置文件一般是在/etc/pam.d/里边的与程序同名的文件,即PAM会搜寻/etc/pam.d/passwd此设置文件。认证库有文本文件,MySQL数据库,NIS ,LDAP等,这些库所对应的系统模块位于/lib64/security/目录下的所有库文件(以".so"后缀的文件)。
freeotp 安装及使用过程
热门推荐
lxw1844912514的博客
08-12 2万+
FreeOTP 是一个双因素认证应用系统,利用 OTP 一次性密码协议,支持 Android 和 iOS。可通过扫描二维码或者手工输入方式轻松添加 Token。 FreeOTP 实现了开放的标准,这意味着系统中不包含收费组件,FreeOTP 提供HOTP和TOTP的实现。 安装: 软件下载地址:https://m.cr173.com/mipx/1266310.html 在安卓或ios 访问以上地址,下载freeopt APP, 1.扫描gitlab网站上的二维码, 2.手机会显示gi...
FreeIPA FreeRadius FreeOTP 实现双因素认证登录
chenjingwen的博客
12-17 9901
FreeIPA FreeRadius FreeOTP 实现VPN双因素认证登录
odoo12之应用:一、双因子验证(Two-factor authentication, 2FA)(HOTP,TOTP)附源码
weixin_30751947的博客
09-11 1309
前言 双因子认证:双因子认证(2FA)是指结合密码以及实物(信用卡、SMS手机、令牌或指纹等生物标志)两种条件对用户进行认证的方法。--百度百科 跟我一样""的网瘾少年想必一定见过买点卡后上面送的密保(类似但不完全一样),还有"将军令",以及网银的网盾,是一种二次验证的机制;它通常是6位的数字,每次使用后(HOTP)或者一定时间后(TOTP)都将会刷新,大大...
双子设备KEY无法与服务器匹配
最新发布
08-04
要解决双子设备(Twin Device)的密钥(KEY)无法与服务器匹配的问题,需要从密钥的生成、存储、传输以及认证流程等多个方面进行排查和优化。 ### 问题成因与解决方法 #### 1. 密钥生成与配置不一致 双子设备通常使用预共享密钥(PSK)进行身份验证,若设备端与服务器端的密钥配置不一致,将导致认证失败。应确保设备与服务器在密钥生成过程中使用相同的种子值或主密钥(PMK),并按照相同的算法派生出成对临时密钥(PTK)和组临时密钥(GTK)[^1]。若密钥硬编码在设备固件中,需确保其与服务器配置的共享密钥完全一致,包括大小写和特殊字符。 #### 2. 密钥存储与加密问题 密钥应以加密形式存储在设备中,避免因固件提取导致密钥泄露或配置错误。例如,服务器端的密钥配置文件(如 FreeRADIUS 的 `raddb/secrets` 文件)应采用加密存储机制,防止明文暴露。设备端也应使用安全的存储机制,如硬件安全模块(HSM)或可信执行环境(TEE)来保护密钥[^2]。 #### 3. 认证协议与加密套件不兼容 确保设备与服务器使用相同的认证协议(如 EAP-TLS、EAP-PEAP、EAP-TTLS 等)和加密算法(如 AES、TKIP 等)。若设备使用 TKIP 而服务器仅支持 AES,可能导致密钥派生失败。应检查服务器与设备的加密配置,确保二者支持的加密算法和完整性校验码(MIC)一致[^1]。 #### 4. 密钥生命周期与同步问题 PTK 和 GTK 是动态生成的临时密钥,若设备与服务器的时间戳或随机数(Nonce)不同步,可能导致密钥派生失败。应确保设备与服务器之间的时间同步,并检查随机数生成机制是否正常[^1]。 #### 5. 使用 RADIUS 协议进行调试 若使用 RADIUS 服务器进行认证,可利用 `radtest` 工具进行本地测试,确认密钥是否正确传递。例如: ```bash radtest alice P@ssw0rd123 192.168.1.100 0 mysecret ``` 该命令可模拟客户端向 RADIUS 服务器发送认证请求,验证用户名、密码及共享密钥是否匹配[^4]。 #### 6. 启用增强协议保障通信安全 建议启用 RADIUS over TLS(RadSec)或 IPSec 隧道,替代传统的明文 UDP 传输方式,防止密钥在传输过程中被篡改或窃听,从而影响密钥匹配[^2]。 ### 安全建议 - **避免使用默认密钥**:禁用公开的默认密钥(如 testing123),防止被恶意利用。 - **密钥分离**:为不同设备或区域分配独立密钥,减少单点泄露带来的风险。 - **加密存储**:对配置文件中的密钥进行加密存储,防止因配置泄露导致认证失败。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值