备案控制台
探索云世界
开发者社区> 问答> 正文

#技塑人生# 专题:软件分享 - Linux SSH登录建立双因子验证机制

专题:软件分享 - Linux SSH登录建立双因子验证机制(谷歌身份验证器 Google Authenticator)
阿里云技术服务团队:蒋金城


ssh public key登录还不够安全,这里介绍一个新的软件Google Authenticator双因子验证模块,该模块可以在连接到SSH服务器时,输入一个随机的一次性密码(TOTP)验证码。需要从智能手机或个人电脑输入这个验证码。

实现需求:
Linux SSH登录使用GoogleAuthenticator双因子验证模块

实现软件:
Google Authenticator:谷歌身份验证器(GoogleAuthenticator)是一种开源模块,实施了由谷歌开发的一次性通行码(TOTP)验证令牌。除了PAM(可插入验证模块)外,它还支持几种移动平台。这些一次性通行码是使用OATH(开放验证组织)制定的开放标准生成的。

测试系统:
阿里云Centos 6.5 64位(其他版本系统未测试,各位网友可以亲测)

安装配置:

1.安装谷歌身份验证器模块:

登录需要安装双因子验证机制的主机,安装下列PAM库以及PAM模块与谷歌身份验证器模块顺利协同运行所需要的开发库。

Red Hat, CentOS, Fedora 系统需要安装pam-devel 包:
安装命令:
# yum installpam-devel make gcc-c++ wget

Ubuntu,Linux Mint,Debian 系统需要安装‘libpam0g-dev包:
安装命令:
# apt-getinstall libpam0g-dev make gcc-c++ wget

谷歌身份验证器模块:
# wgetcache.ali.dagaiba.com/google-authenticator/libpam-google-authenticator-1.0-source.tar.bz2
# tar -xvflibpam-google-authenticator-1.0-source.tar.bz2
# cdlibpam-google-authenticator-1.0
# make
# make install
安装过程截图:





运行google-authenticator开始生成密钥信息,一下一直Y就可以,出现错误,重新运行命令google-authenticator。




附:英文解释:
Do you want authentication tokens to betime-based (y/n) y
做你想做的认证令牌是基于时间的吗?

Do you want me to update your"/root/.google_authenticator" file (y/n) y
你希望我更新你的“/root/.google_authenticator”文件吗(y/n)?

Do you want to disallow multiple uses ofthe same authentication token? This restricts you to one login about every 30s,but it increases your chances to notice or even prevent man-in-the-middleattacks (y/n) y
你希望禁止多次使用同一个验证令牌吗?这限制你每次登录的时间大约是30秒,但是这加大了发现或甚至防止中间人攻击的可能性(y/n)?y

By default, tokens are good for 30 secondsand in order to compensate for possible time-skew between the client and theserver, we allow an extra token before and after the current time. If youexperience problems with poor time synchronization, you can increase the windowfrom its default size of 1:30min to about 4min. Do you want to do so (y/n) y
默认情况下,令牌保持30秒有效;为了补偿客户机与服务器之间可能存在的时滞,我们允许在当前时间前后有一个额外令牌。如果你在时间同步方面遇到了问题,可以将窗口从默认大小即1分30秒加大到约4分。你希望这么做吗(y/n)?

If the computer that you are logging intoisn't hardened against brute-force login attempts, you can enable rate-limitingfor the authentication module.By default, this limits attackers to no more than3 login attempts every 30s.Do you want to enable rate-limiting (y/n) y
如果你登录的那台计算机没有经过固化,以防范运用蛮力的登录企图,可以对验证模块启用尝试次数限制。默认情况下,这限制攻击者每30秒试图登录的次数只有3次。你希望启用尝试次数限制吗(y/n)?

2.配置SSH使用谷歌身份验证器模块:
编辑 PAM配置文件“/etc/pam.d/sshd”,把下面这行添加到该文件的顶部
auth       required     pam_google_authenticator.so


编辑SSH配置文件“/etc/ssh/sshd_config”,找到下面内容的这一行:
ChallengeResponseAuthenticationno
将 no 更改成 yes 。
ChallengeResponseAuthenticationyes

最后,重启SSH服务,以便让新的变更生效。
命令:
/etc/init.d/sshdrestart
3.安装、配置谷歌身份验证器应用程序:
安装就不多讲了,安装个GooglePlay,在Google应用中去搜索:Google Authenticator 安装即可。
配置谷歌身份验证器:
打开GoogleAuthenticator应用。
点击“开始设置”



点击“输入提供的密钥”

在“输入账户名称”这个自己定义一个名字,在“输入您的密钥”就输入之前生成的secret key。

在打开GoogleAuthenticator就是上面样子。
4.测试SSH登录:
比较直观的测试就是从一台linux主机访问这台主机,ssh-v ip地址。



阿里云官方微博地址:http://weibo.com/1644971875/BbYVA4ajn

展开
收起
qiujin2012 2014-07-03 22:56:26 14824 0
2 条回答
写回答
取消 提交回答
  • 林林林林
    优秀文章-欢迎进行技术分享,感谢你的支持!
    2014-07-04 19:16:36
    赞同 展开评论 打赏
  • 随歌
    收藏了……周末好好研究下!谢谢分享!
    2014-07-04 08:41:47
    赞同 展开评论 打赏
问答分类:
安全 Linux 网络安全 数据安全/隐私保护 运维安全中心(堡垒机)
问答标签:
Linux机制 ssh Linux Linux SSH ssh验证 Linux登录
问答地址:
开发者社区 > 安全 > 问答

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关问答
阿里云幻兽帕鲁服务器报Linux软件漏洞需要处理吗?
57
8
0
linux下Qt软件打包问题
32
1
0
如何通过密钥认证登录 Linux 实例?
496
1
0
最近打算从windows的pg内核研发转到Linux上来,有没有大佬用Linux然后ssh连上在wi
714
1
0
为什么系统软件要在一个Linux的机器上面去跑一个docker的虚拟机,里面要跑一个Windows啊
1089
1
0
有大佬遇到过设置允许ssh登录,设置了文件权限,还是拒绝访问的情况吗
1963
1
0
如何配置SSH免密登录?
786
1
0
azkaban问题,有谁知道怎么解决吗? 比如linux命令行能执行ssh `sh getServe
553
1
0
对于进一步提升资源隔离能力以保障系统 QoS,Linux cgroup 机制还存在哪些不足?
868
1
0
Linux编程之杂项技术中SSH2支持指的是什么?
1661
1
0
问答排行榜
最热
最新
1 通过阿里云代备案系统进行个人快速备案 2699521
2 【大咖问答】对话PostgreSQL 中国社区发起人之一,阿里云数据库高级专家 德哥 1818159
3 据说在家办公的程序员是这样写代码的? 1792084
4 阿里云开放端口权限 689777
5 《阿里云服务器从入门到精通》—论坛精华帖汇总(2013.8.21更新) 599349
6 如何升级配置 536013
7 【藏经阁一起读(27)】本周推荐《Apache Flink案例集(2022版)》,你有哪些心得? 522293
8 【精品问答】python技术1000问(1) 513934
9 Flink Forward Asia 2021 有奖问答 512759
10 Linux Bash严重漏洞修复紧急通知(已全部给出最终修复方案) 456881
11 工信部官网:www.miitbeian.gov.cn打不开解决办法 399447
12 OceanBase 使用动画(持续更新) 359220
13 阿里云LNAMP(Linux + Nginx + Apache + MySQL + PHP)环境一键安装脚本 329678
14 OSS存储服务-客户端工具 321214
15 为体验实验室取一个新名字。 307152
16 企业邮箱发送邮件时,若出现投递失败产生退信,内容提示包含如下: the mta server of * reply:550 failed to meet SPF requirements 或者 the mta server of 163.com — 163mx01.mxmail.netease.com(220.181.14.141) reply:550 MI:SPF mx14,QMCowECpA0qTiftVaeB3Cg—.872S2 1442548128 http://mail.163.com/help 303634
17 Win Server 2003-2016 加密勒索事件必打补丁合集 295087
18 FLASH播放器,在IE浏览器下显示请确定您的域名已完成备案和CNAME绑定 283423
19 安全组详解,新手必看教程 277221
20 写code还是做管理,开发者如何进行职业规划? 268224
1 如何让系统具备良好的扩展性? 444
2 在JS编程中有哪些常见的编程“套路”或习惯? 432
3 在做程序员的道路上,你掌握了什么关键的概念或技术让你感到自身技能有了显著飞跃? 1517
4 作为一个经典架构模式,事件驱动在云时代为什么会再次流行呢? 1171
5 宜搭:提交表单前,如何校验另一张表单的数据? 228
6 如何看待首个 AI 程序员入职科技公司? 1922
7 未启用对服务器的访问 510
8 在图像处理应用场景下,Serverless架构的优势体现在哪些方面? 1638
9 如何处理线程死循环? 2201
10 宜搭自定义页面,这个是怎么配置的 185
11 Idea 2024.1RC 报错提示 188
12 如何写出更优雅的并行程序? 1653
13 你认为一个优秀的技术PM应该具备什么样的能力? 2113
14 宜搭页面复制问题 348
15 宜搭审批节点调用连接器给表单组件赋值 136
16 宜搭在自定义页面保存数据新建表单后如何返回新建表单formInstId值 137
17 Nacos配置了鉴权 登录接口返回caused:这个有谁清楚吗? 156
18 从哪个版本开始nacos分成了两个端口?8848和9848 134
19 钉钉宜搭中要如何实现每日定时自动获取表单1中符合条件的实例数量总和,并赋值给表单2中的某个组件 328
20 宜搭官方的视频板块,图片上是怎么加文字样式的。 175

相关课程

更多
  • Linux高级网络应用 - 网络管理与配置实战
    13026
    5
    去学习
  • Linux MySQL服务器搭建与应用
    12449
    5
    去学习
  • Linux服务器运维基本操作
    14123
    7
    去学习
  • Linux企业运维实战 - 入门及常用命令
    1646
    29
    去学习
  • Linux Shell 编程入门与实战
    13348
    5
    去学习
  • Linux网络进阶 - TCP/IP协议及OSI七层模型
    14333
    5
    去学习
    • 推荐问答
    乘风问答官招募中!机械键盘免费拿

    相关文章

  • SpringSecurity原理简述(中)
  • SpringSecurity原理简述(下)
  • nginx安装在linux上
  • Linux环境安装配置JDK11
  • 【算法】15. 三数之和(多语言实现)

    • 相关电子书

    更多
    • Alibaba Cloud Linux 3 发布 立即下载
    ECS系统指南之Linux系统诊断 立即下载
    ECS运维指南 之 Linux系统诊断 立即下载

    相关实验场景

    更多
  • 使用计算巢企业应用,一键获取专属的Linux服务器管理软件
    65
    1.0小时
    去实验
  • Alibaba Cloud Linux操作系统的安装及使用
    771
    2.0小时
    去实验
  • Alibaba Cloud Linux操作系统Shell程序
    785
    2.0小时
    去实验
  • 手动部署MySQL数据库(Alibaba Cloud Linux 2)
    53
    1.0小时
    去实验
  • 部署并使用Docker(Alibaba Cloud Linux 3)
    498
    1.0小时
    去实验
  • 部署并使用Docker(Alibaba Cloud Linux 2)
    628
    1.0小时
    去实验

    • 相关镜像

  • mxlinux-iso
  • archlinuxarm
  • archlinuxcn