增强SSH安全性:配置一次性密码(OTP)的使用

最新推荐文章于 2024-09-28 15:57:58 发布
最新推荐文章于 2024-09-28 15:57:58 发布
阅读量797 收藏 11
点赞数 4
文章标签: ssh 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85702623/article/details/141128870
版权

在远程服务器管理中,SSH(Secure Shell)提供了一种安全的数据传输和命令执行方式。为了进一步提升SSH的安全性,我们可以配置使用一次性密码(One-Time Password, OTP),这是一种只能使用一次的密码,通常通过时间同步或事件同步来生成。本文将详细介绍如何在SSH服务中配置一次性密码的使用。

一、一次性密码(OTP)概述

一次性密码是一种安全措施,旨在提供比传统静态密码更强的安全性。OTP通常结合了时间或事件因素,生成一个只能使用一次的密码。

二、SSH服务与一次性密码

在SSH服务中使用一次性密码,通常需要结合使用第三方认证器或二元认证应用,如Google Authenticator。

三、配置SSH服务使用PAM进行一次性密码验证

在Linux系统中,可以通过配置PAM(Pluggable Authentication Modules)来实现SSH服务的一次性密码验证。

3.1 安装必要的软件包

首先,需要安装libpam-google-authenticatorgoogle-authenticator软件包。

sudo apt-get update
sudo apt-get install libpam-google-authenticator google-authenticator

3.2 生成密钥并配置用户

为每个用户生成密钥并配置一次性密码。

google-authenticator

此命令将引导用户完成设置过程,并生成一个紧急恢复代码。

3.3 配置PAM

编辑PAM配置文件,通常位于/etc/pam.d/sshd

sudo nano /etc/pam.d/sshd

在文件中添加以下行,启用Google Authenticator模块:

auth required pam_google_authenticator.so nullok

3.4 配置SSH服务

编辑SSH服务的配置文件sshd_config,通常位于/etc/ssh/sshd_config

sudo nano /etc/ssh/sshd_config

确保以下配置已启用:

ChallengeResponseAuthentication yes
UsePAM yes

3.5 重启SSH服务

配置完成后,重启SSH服务以应用更改。

sudo systemctl restart sshd

四、使用一次性密码进行SSH登录

用户在尝试SSH登录时,将被提示输入一次性密码。此密码可以通过用户的手机应用生成。

ssh user@hostname

五、一次性密码的安全优势

  1. 增强安全性:一次性密码提供了比传统密码更强的安全性。
  2. 防止重放攻击:由于密码只能使用一次,即使被截获也无法再次使用。
  3. 适应性强:适用于需要高安全性的多种环境。

六、注意事项

  1. 用户教育:确保用户了解如何使用一次性密码。
  2. 备份密钥:用户应妥善保管其密钥和恢复代码。
  3. 多因素认证:一次性密码通常作为多因素认证的一部分。

七、结论

配置SSH服务使用一次性密码是一种提高远程访问安全性的有效手段。本文详细介绍了配置过程,包括安装必要的软件包、生成密钥、配置PAM和SSH服务,以及使用一次性密码进行登录的方法。希望本文能够帮助系统管理员和用户提高SSH服务的安全性。

2401_85702623
关注
Linux安全加固之:SSH开启双因子认证--基于TOTP方式
weixin_43441262的博客
05-21 1313
2:在移动端点击右上角加号,扫一扫扫码。扫码完成后出现一个新的“令牌”。3:此时会接着出来一些其它配置。一般来说无脑 y 就可以。可以看到,我们除了输入密码外,还要输入一次性验证码。
使用otp动态口令ssh登录linux
superzlc的专栏
02-19 3391
linux上各应用的权限认证使用pam机制, pam参考资料:https://github.com/linux-pam/linux-pam,https://blog.51cto.com/tyjhz/1436175 这里需要一个支持otp验证的pam模块,可以直接用pam_script模块,通过编写脚本实现。 1. 安装pam_script yum install pam_script或从https://github.com/jeroennijhof/pam_script编译安装。 这里直...
使用OATH Toolkit实现ssh登录时进行TOTP双因子认证
MengMengDeXiaoJi的博客
05-12 1650
双因子认证(英语:Two-factor authentication,缩写为2FA),又译为双重验证、双因子验证、双因素验证、二元认证,是多重要素验证中的一个特例,使用两种不同的元素,合并在一起,来确认用户的身份。传统的单一密码认证(即知识要素,如用户名和密码)容易受到攻击,因此,为了增强安全性,双因子认证引入了至少还需要第二种形式的认证。:用户知道的东西,例如密码、PIN码。:用户拥有的东西,如安全令牌、智能卡、手机(通过短信或认证应用生成的一次性代码)。
推荐开源项目:pass-otp——密码管理器的OTP扩展
gitblog_00042的博客
05-14 484
推荐开源项目:pass-otp——密码管理器的OTP扩展 pass-otpA pass extension for managing one-time-password (OTP) tokens项目地址:https://gitcode.com/gh_mirrors/pa/pass-otp 项目简介 pass-otp 是一个针对 pass 密码管理器的扩展插件,专门用于管理一次性密码OTP)令牌...
使用oath作totp一次性口令openssh认证
weixin_44053794的博客
11-23 2489
官方地址 https://www.nongnu.org/oath-toolkit/ 实现: 使用 google-authenticator 产生totp token 然后使用 oath的pam模块认证 安装 debian系安装 sudo apt install oathtool libpam-oath libpam0g-dev centos 系安装 需要epel sudo yum install liboath liboath-devel liboath-doc pam_oath oathtool p
如何让SSH支持OTPW之一(编译篇)
weixin_38990997的博客
04-18 388
Linux ssh 采用一次性口令(OTPW)认证
Keyguard应用:SSH密钥管理与Yubi OTP一次性密码验证集成
- YubiKey是由Yubico公司生产的一种硬件设备,用于提供物理的一次性密码OTP)认证。 - YubiKey支持多种认证协议,包括YubiOTP,这是一种在按下YubiKey设备上的按钮时生成一次性密码的方法。 - keyguard结合...
H3C交换机SSH配置安全宝典:加密与认证的实战技巧
本文旨在详细探讨SSH协议在H3C交换机上的应用和管理,包括SSH的基本配置安全性能提升、故障排除以及性能优化等关键方面。文章首先介绍了SSH协议的基础知识和H3C交换机的相关概述,随后深入讨论了SSH服务的启用、...
SSH跨平台:Windows与Linux之间的连接
# 章节一:SSH简介及基本原理 ## 1.1 SSH的定义与作用 SSH(Secure Shell)是一种通过网络进行...SSH使用了非对称加密、对称加密和消息认证码(MAC)等多种技术来确保通信的安全性。 首先,在建立连接时,SSH使用
CentOS 安装OTPW 一次性密码双因子认证
一粒米的博客
12-29 1182
optw 双因子认证1.安装otpw2.参数配置3.重启测试4.拓展用法 官方网站:https://www.cl.cam.ac.uk/~mgk25/otpw.html 软件下载:https://www.cl.cam.ac.uk/~mgk25/download 重要: 配置该软件涉及到一些安全策略,所以一定要关闭SELinux,否则配置后在输入密码时不会显示序列号,配置完后再开启SELinux也不会显示序列号,所以直接永久关闭。 # 查看SELinux状态 getenforce # 临时关闭SELinux
ppp-pam模块实现完美的一次性密码认证系统
一次性密码OTP)是一种安全认证机制,相较于传统静态密码(Static Passwords)有其独特的优势和局限性。在描述中提到的OTP最大的特点是其密码仅对单次登录会话或交易有效,这减少了密码被重复使用(重播攻击)的...
如何使用TOTP进行SSH登录认证(C/C++代码实现)
最新发布
chen1415886044的博客
09-28 1352
TOTP(基于时间的一次性密码)是一种广泛使用的多因素认证技术,它通过算法生成一个与时间相关的一次性密码,通常每30秒或60秒更换一次。这种密码在你输入后会失效,因此即使有人截获了密码,他们也无法在下一次登录时使用它,从而大大增加了账户的安全性
OTP验证】Google Authenticator接入教程
qq_36328101的博客
11-06 2522
谷歌OTP认证登录入门教程
如何用一次性密码通过 SSH 安全登录 Linux
我生苍茫
05-25 2220
有人说,安全不是一个产品,而是一个过程。虽然 SSH 协议被设计成使用加密技术来确保安全,但如果使用不当,别人还是能够破坏你的系统:比如弱密码、密钥泄露、使用过时的 SSH 客户端等,都能引发安全问题。
OTP 动态口令验证
热门推荐
方小白
11-25 1万+
OTP 动态口令验证。 简介 动态口令(OTP,One-Time Password)又称一次性密码,是使用密码技术实现的在客户端和服务器之间通过共享秘密的一种认证技术,是一种强认证技术,是增强目前静态口令认证的一种非常方便技术手段,是一种重要的双因素认证技术。 动态口令认证技术包括客户端用于生成口令产生器的动态令牌,是一个硬件设备,和用于管理令牌及口令认证的后台动态口令认证系统组成。 目前在安全强...
海思Hi3519AV100╱Hi3556AV100 V100 安全启动 secure boot
gsp1004的博客
10-11 3968
1.海思提供的文档 文档路径:ReleaseDoc\zh\01.software\board\Hi3519AV100╱Hi3556AV100 V100 安全启动使用指南.pdf 从文档中截下的boot image的结构图如下: 2.secure boot 保护了些什么 依据上图可以知道,secure boot 可以保护ddr_init.bin 和 uboot.bin。保证这两部分没有被篡改。 ...
一次性密码OTP,One-Time Password)介绍
yunmoon的博客
11-30 5626
一次性密码OTP,One-Time Password)是一种在认证过程中仅使用一次的密码。一旦使用,该密码立即失效,不能重复使用。由于OTP具有这种特性,即使攻击者截获到该密码,也无法再次用于身份验证。OTP通常通过短信、电子邮件或专用的身份验证应用程序发送给用户,形式为4到8位的数字、字母或数字字母组合。用户只需输入收到的密码,这使得OTP易于使用
bash-otp:基于Bash的一次性密码生成器
gitblog_00597的博客
09-01 707
bash-otp:基于Bash的一次性密码生成器 bash-otpOne-time Password generator for CLI using bash, oathtool项目地址:https://gitcode.com/gh_mirrors/ba/bash-otp 项目介绍 bash-otp 是一个命令行界面(CLI)工具,旨在生成一次性密码OTP),支持时间基(TOTP)和计数器基(...
群晖7.X关闭ssh双重验证(OTP)的方法
wjcroom的专栏
09-03 8261
由于拆了一块硬盘,重启了一次,以前可以的OTP怎么也不对了。手机时间和ssh后台时间是一致的,但就是OTP验证码始终不对,好在可以ssh。在网上找到一个办法可以关闭二次OTP验证码。保存退出不用重启,直接关闭 这个功能。status的on改为off。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值