Ansible 安全 之【ssh登录二次验证】

最新推荐文章于 2023-11-01 15:33:44 发布
最新推荐文章于 2023-11-01 15:33:44 发布
阅读量599 收藏 1
点赞数
分类专栏: ansible自动化运维管理工具 文章标签: ssh 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yosigo_/article/details/120992095
版权

Ansible 安全 之【ssh登录二次验证】

本次二次认证方式使用 Google 身份验证器

配置ssh二次登陆验证

同步时间

# 下载同步时间命令
yum -y install ntpdate

# 同步时间
/usr/sbin/ntpdate asia.pool.ntp.org >>/var/log/ntpdate.log

安装依赖包

yum install pam-devel make gcc-c++ wget -y

下载谷歌身份验证器包

wget https://github.com/google/google-authenticator-libpam/archive/1.03.tar.gz

编译安装

tar zxf 1.03.tar.gz
cd google-authenticator-libpam-1.03
./bootstrap.sh
./configure 
make 
make install

复制google 身份验证器pam模块到系统下

cp /usr/local/lib/security/pam_google_authenticator.so /lib64/security/

修改ssh的pam登录模块为pam_google_authenticator.so

vim /etc/pam.d/sshd
#%PAM-1.0
#auth      required     pam_sepermit.so
auth      required      pam_google_authenticator.so
auth       substack     password-auth
auth       include      postlogin
# Used with polkit to reauthorize users in remote sessions
-auth      optional     pam_reauthorize.so prepare
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin
# Used with polkit to reauthorize users in remote sessions
-session   optional     pam_reauthorize.so prepare

修改ChallengeResponseAuthentication 为yes

sed -i 's#^ChallengeResponseAuthentication no#ChallengeResponseAuthentication yes#' /etc/ssh/sshd_config

生成key,手机app上添加账户所需要的

./google-authenticator 

Do you want authentication tokens to be time-based (y/n) y
https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/root@k8s-master-01%3Fsecret%3DTFWWGTCAKGXDDTBPJXDXK24ORY%26issuer%3Dk8s-master-01
# 此处为二维码
Your new secret key is: TFWWGTCAKGXDDTBPJXDXK24ORY
Your verification code is 991953
Your emergency scratch codes are:
  76049739
  45229095
  97222624
  43385798
  68589293

Do you want me to update your "/root/.google_authenticator" file? (y/n) y

Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y

By default, tokens are good for 30 seconds. In order to compensate for
possible time-skew between the client and the server, we allow an extra
token before and after the current time. If you experience problems with
poor time synchronization, you can increase the window from its default
size of +-1min (window size of 3) to about +-4min (window size of
17 acceptable tokens).
Do you want to do so? (y/n) y

If the computer that you are logging into isn't hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting (y/n) y

重启ssh服务(重启后,不要关闭当前窗口,以免配置错误出现登录不了服务器)

service sshd restart

手机端配置:本次使用安卓手机,下载app(google authenticator)并安装。

添加帐号
在这里插入图片描述
添加完成后,可以看到每30秒变换一次验证码

登陆验证

ssh 192.168.15.11
Verification code: 	# 先输入手机端的验证码
Password: 	# 在输入root密码
Last failed login: Wed Oct 27 15:10:19 CST 2021 from k8s-master-01 on ssh:notty
There was 1 failed login attempt since the last successful login.
Last login: Wed Oct 27 14:56:35 2021 from 192.168.15.1

xshell客户端登录

修改用户身份验证方式
在这里插入图片描述
先输入谷歌验证码
在这里插入图片描述
再输入root密码
在这里插入图片描述
登陆成功
在这里插入图片描述

我的紫霞辣辣
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ansible-playbook ssh 报错解决
极致,细节
12-27 715
报错解决 解决方法删除rsa的信息即可 shell: vim ~/.ssh/known_hosts 删除信息
Ansible-ansible-ssh.zip
09-18
Ansible-ansible-ssh.zip,使用ansible inventory和config.ansible-ssh连接到托管主机的脚本,ansible是一个简单而强大的自动化引擎。它用于帮助配置管理、应用程序部署和任务自动化。
Linux命令
diebaoyan1530的博客
04-28 156
Linux命令 用来实现某种功能的指令或程序。绿色:可以运行的程序。 Linux执行命令,需要找到对应的程序。命令的执行依赖于解释器 (默认解释器:/bin/bash)用户---->解释器---->内核---->硬件 分类内部命令:属于解释器的一部分外部命令:解释器之外的其他程序-------------------------------------------...
使用xshell完成ssh二次登录
热门推荐
添经地翼的博客
03-30 2万+
在现实环境中,网络常备分割为内网和外围,我们能直接访问的只有外网。外网服务器中,会设置一台网关,只有这台网关服务器的网络可以和内网联通。     如上图所示,我们联通内网服务器的方法都是ssh到网关服务器,再通过网关服务器ssh到内网服务器。然而,每次都要输入两次用户名和密码,有些繁琐,在这里,我们就介绍一种通过xshell来一步登录内网服务器的方法。为什么用xshell?因为它家用免费啊,l
ansible SSH密码认证和密钥对认证
java_w的专栏
12-10 550
SSH密码 vim /etc/ansible/hosts [webservers] 192.168.10.251 ansible_ssh_user=root ansible_ssh_pass=123.com 192.168.10.252 ansible_ssh_user=root ansible_ssh_pass=123.com 192.168.10.253 ansible_ssh_user=r...
二次登陆验证
weixin_34408717的博客
05-13 979
服务器二次登录验证:目前比较流行的两种方式1 Googlehttps://github.com/google/google-authenticator安装 关闭selinux gitclonehttps://github.com/google/google-authenticator.git yuminstalllibtool ./bootstrap.sh...
ansible-secure-ssh:用于改善SSH安全性的ansible手册
02-01
ansible-secure-ssh:用于改善SSH安全性的ansible手册
ansible-ssh-config:让Ansible管理ssh配置
05-24
ansible-ssh-config 该模块已迁移到改用社区版本。 Ansible的模块,用于配置ssh配置文件。 为什么? 我们有几个库可以在工作中的项目之间共享功能。 这些库位于GitHub上,它们位于自己的存储库中。 我们的部署...
ansible-ssh:取消SSH服务器和管理SSH密钥的角色
05-10
ansible-galaxy install alphanodes.ssh 角色变量 下面列出了可用的变量以及默认值(请参见defaults/main.yml ): ssh_server_packages: - openssh-server Debian软件包,应该安装。 ssh_server_port: 22 sshd将...
使用ansible对虚拟机进行安全设置
01-07
使用ansible对虚拟机进行安全设置iptables设置修改防火墙配置文件修改 ssh 端口,查看结果,重启服务ansible 配置批量分发秘钥修改 hosts 文件 iptables设置 设置方法参考前边的文章 修改防火墙配置文件 将配置好的...
手把手教你给 SSH 启用二次身份验证
easylife206的专栏
11-29 1035
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !每日言论年轻时,我犯的最大错误,就是没有及时离职。我以为我必须向公司证明自己,然后再离开,但这其实没有任何...
Linux下部署SSH登录时的二次身份验证环境记录(利用Google Authenticator)
最新发布
是你静香不够骚还是我大雄不行了
11-01 563
为了安全着想,可以使用GoogleAuthenticator(谷歌身份验证器),以便在账号和密码之间再增加一个验证码,只有输入正确的验证码之后,再输入密码才能登录。size of 1:30min to about 4min. Do you want to do so (y/n) n #默认动态验证码在30秒内有效,由于客户端和服务器可能会存在时间差,可将时间增加到最长4分钟,是否要这么做:这里选择是n,继续默认30秒。然后再次连接的时候,就会提示先输入二次身份验证码,再输入用户密码。
ansible ssh密钥认证过程
天涯的博客
10-01 1610
1、简介 ansible默认基于ssh登陆,在对主机操作之前,需要对主机进行认证。ANSI不了认证方式有密码认证和公私钥认证两种方式,等同于ssh认证。出于安全性的考虑,Asible默认使用公私钥的认证方式,密码不用明文存放。 2、添加远程认证信息 随机生成公私钥对,ssh-keygen是linux下认证密钥、管理和转化工具。 ssh-keygen -N "" -b 4096 -t rs...
平时作业2
u013860888的专栏
06-15 444
mysql双因子验证_强制禁用gitlab的双因子认证:Two-Factor Authentication
weixin_28759725的博客
02-27 1059
(一)问题描述:此博客解决如下问题:禁用gitlab的双因子认证禁用前,如图(此时,你在gitlab中什么也干不了)(二)思路分析:目标是将otp_required_for_login 、 require_two_factor_authentication_from_group这两个字段,都改为false(数据库中用f表示)(三)解决问题:1、进入GitLab的PostgreSQL数据库(1)...
git clone 身份验证失败
wiwenqiuya的博客
05-31 7403
git clone 时,fatal: Authentication failed for 身份验证失败 前提:有克隆代码的权限,如果没有请联系公司管理员 克隆代码 git clone XXX 报错: fatal: Authentication failed for xxx 解决办法: 1.配置用户信息 git config --global user.name [用户名] git config --global user.email [邮箱] git config --global user.ema
Ansible Playbook扩展:交互式提示》
东城绝神
03-09 765
Ansible语法篇:剧本对象关键字之vars_prompt》
ansible跳过ssh验证的命令
05-09
在使用 Ansible 进行 SSH 连接时,默认会通过 SSH 进行验证。但是,如果你想要跳过 SSH 验证,可以使用以下命令: ``` ansible-playbook playbook.yml --ssh-extra-args="-o StrictHostKeyChecking=no" ``` 这个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值