Linux下使用pam_python实现SSH的双因子认证登录

最新推荐文章于 2024-04-13 22:17:31 发布
最新推荐文章于 2024-04-13 22:17:31 发布
阅读量1.1k 收藏 1
点赞数 2
文章标签: 运维 python 操作系统
原文链接:https://my.oschina.net/u/3021599/blog/3047671
版权

引言

Linux系统管理员(System Administrator,SA)经常碰到的问题就是放在公网的服务器经常被人猜测密码,每天都可以从系统日志里看到探测密码的信息,再加上最近很多厂商泄露了包含用户密码的数据库,撞库的行为也逐步开始转移到SSH上。

最初SA的防御手段一般是限制IP地址、修改SSH端口、部署失败一定次数就锁定或者封IP的程序或者脚本,更有极客想出了敲门3次端口才开放的办法,可谓无所不用其极。但是这些办法很多都不是很方便,改了端口,连接时需要指定端口;限制了IP地址,发现在家上网就登录不了了,封锁脚本可能把自己也锁定了。

在大公司里一般是采用的“RSA SecurID”方案,或者类似的技术。我们称其为双因子认证或者多因子认证(Two Factor Authentication;MFA,Multi Factor Authentication),在输入密码的同时需要输入一个一次性口令(OTP,One Time Password)。这种方案也有软件实现和硬件实现,软件例如google authenticator、Symantec Validation and ID Protection (VIP) ;硬件例如 RSA SecurID、飞天诚信的密保产品。

使用RSA SecurID的方案看起来虽然很好,但是他需要独立部署RSA Server,需要占用一台服务器,并且Server端软件是收费的,RSA SecurID密保也是收费的。

有没有免费的办法?

有啊,今天就来介绍一个。

实现方法

最简单的实现的方式,用户登录时需要输入用户名+PIN+密码方式才能登录。

这里的PIN是一个字符串,例如”ipcpu.com”,固定死的,不会变。

[root@IPCPU-0 security]# ssh root@192.168.110.11
Enter Your PIN: 
Password: 
Last login: Mon Mar 21 00:44:26 2016 from 192.168.110.11

安装pam_python模块

pam_python &#x

最低0.47元/天 解锁文章
chenglanqi6606
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pam-python:允许用 Python 编写 PAM 模块-开源
05-30
这个 PAM 模块运行 Python 解释器,因此允许用 Python 编写 PAM 模块。 由于 Python 会产生相当大的开销,因此它的目标受众是 SysAdmins 编写一个 PAM 模块。 所有可用的文档都可以在 http://pam-python.sourceforge.net/ 在线阅读
pam_python.so
07-30
pam_python是一个让linux ssh登陆实现因子认证的东东。通过修改auth.py,可以方便地加入自己希望的双因子认证效果。 根据https://sourceforge.net/projects/pam-python/files/pam-python-1.0.6-1/编译好的pam_python.so二进制文件(仅在ubuntu16.04下测试过,其他系统未测试),不需要自己安装gcc编译了。
Pam-Python实现SSH的短信双因素认证
python学习者的博客
08-21 2177
谈及到双因子认证或多因子认证时,解决方案有很多,可能会想到短信验证码、RSA动态令牌、Google Authenticator或者Duo,在国内由于某些限制的原因,Google Authenticator和Duo的应用案例较少,而RSA动态令牌主要常见于一些大公司里面,而且使用RSA动态令牌需要独立独立部署RSA 服务器,并且软件需要收费,RSA SecurID密保也是要收费的,如何实现一种经济实...
linux 生成密码本,Linux下CentOS7使用OTPW实现因子密码本登录
weixin_30111277的博客
05-12 544
otpw优点:1、前缀密码+一次性随机码,相当于双重加密。就算随机码列表泄露,没有前缀密码也是无法登录.2、如果一次没登录成功,会启用三重随机码.3、用户目录下保存密码的文件可通用,适合批量部署.安装:cd /homewget –no-check-certificate https://www.cl.cam.ac.uk/~mgk25/download/otpw-1.5.tar.gzcd otpw-...
Two Factor Auth (2fa):适用于Linux桌面的2fa-开源
05-13
Linux桌面发行版的两因素身份验证(一次性密码)
pam_chroot.zip_linux pam _pam模块
09-14
2. **降低风险**:通过限制用户权限,`pam_chroot`降低了用户误操作导致系统不稳定的风险,特别适用于提供网络服务,如FTP服务器、SSH服务器等,可以在不完全信任用户的情况下,给予其有限的访问权限。 3. **资源...
pam_python_crowd:如何配置 PAM 以通过 Atlassian Crowd 登录
06-18
pam_python_crowd 这是一种使用 Atlassian 的 Crowd 身份验证服务器登录 Linux 计算机的机制。 我只在 Ubuntu 13.10 上真正测试过它,尽管它应该适用于任何基于 PAM 的系统。 这是星期六黑客攻击的结果,几乎只是...
Linux-PAM-1.3.0.tar.gz_PAM_linux_pam 1.3.1
09-23
Linux-PAM-1.3.0.tar.gz这个压缩包中,包含了版本为1.3.0的PAM的源代码和其他相关文件,允许用户在系统上安装和配置PAM来实现多样的认证策略。 PAM的核心概念在于“插件式”,这意味着它能够根据需求加载不同的...
pam.tar.gz_linux pam _linux-pam
09-24
例如,`login`服务的配置文件可能包含多个行,每行代表一个PAM模块的调用,如`auth required pam_unix.so`表示需要通过UNIX密码进行认证。 **3. PAM模块类型** PAM模块分为四种类型:`auth`、`account`、`session`...
Linux: 通过pam_python实现ssh因子认证测试记录_七侠镇莫尛貝_20190730
七侠镇莫小贝的同福客栈
07-30 1211
参考资料:http://www.ipcpu.com/2016/04/linux-pam-python/ 测试环境:ubuntu16.04 srv 测试步骤: 1.从https://github.com/ipcpu/pam-python-ipcpu 下载pam_python源代码。 2.服务端安装gcc: 参考:https://blog.csdn.net/lucifa_li/articl...
操作系统(Linux)双因素身份认证解决方案 - 中科恒伦CKEY DAS.pdf
10-15
帮助Linux操作系统实现双因素身份认证,保护操作系统登录安全,同时讲述双因素认证实现原理、认证方法、接入方式等
15张超详细的Python学习路线图,纯良心分享,新手小白学习宝典
最新发布
m0_60452293的博客
04-13 366
是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!结合自身的学习经验以及与很多自学者的沟通了解,我们整理出。,供诸位尚未入门或刚入门不久的同学参考。
chatgpt赋能Python-python_pam
turensu的博客
05-24 107
本文由chatgpt生成,文章没有在chatgpt生成的基础上进行任何的修改。以上只是chatgpt能力的冰山一角。作为通用的Aigc大模型,只是展现它原本的实力。对于颠覆工作方式的ChatGPT,应该选择拥抱而不是抗拒,未来属于“会用”AI的人。🧡AI职场汇报智能办公文案写作效率提升教程 🧡专注于AI+职场+办公方向。下图是课程的整体大纲下图是AI职场汇报智能办公文案写作效率提升教程中用到的ai工具。
python调用pam模块进行linux用户验证
chenyulancn的专栏
11-06 3502
# (c) 2007 Chris AtLee # Licensed under the MIT license: # http://www.opensource.org/licenses/mit-license.php """ PAM module for python Provides an authenticate function that will allow the caller t
linux因子配置双因子登录
weixin_45408048的博客
12-03 291
第4个:默认情况,1个口令的有效期是30s,这里是为了防止主机时间和口令客户端时间不一致,设置的误差,可以选择y,也可选n,看要求严谨程度   y。完成上述步骤后,当用户登录时,系统将要求他们提供谷歌身份验证器生成的临时验证码,以完成双因素身份验证。第5个:是否打开尝试次数限制,默认情况,30s内不得超过3次登录测试,防止别人暴力破解。请注意,在执行任何修改前,请务必备份相关的配置文件,以防止意外情况发生。第3个:是否禁止口令多用,这里选择y,禁止它,以防止中间人欺骗。
linux用户双重认证登录,linux PAM 用户登录认证
weixin_32566515的博客
04-29 736
PAM(Pluggable Authentication Modules )是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系 统中添加新的认证手段。从本篇开始会总结一些常用的pam模块及其实现的功能,今天讲的是pam_tally2模块。...
基于pam实现的批量执行命令工具-Cyberark
网络安全领域优质创作者
06-24 302
基于pam实现的批量执行命令工具-Cyberark
linux通过pam限制ssh登录,linux高级安全ssh限制利用PAM
weixin_42500367的博客
05-12 995
问题背景:为了加强linux服务器的安全性,要求指定的用户从ssh登录后只能在指定的目录下工作并只能运行指定的命令或脚本解决:修改ssh登录验证方法[root@localhost ~]# vi /etc/pam.d/sshd#%PAM-1.0auth include system-authaccount required pam_nologin.soaccount include system-...
Linux PAM开发示例二:登录系统时使用自己的PAM模块进行密码认证
ljq32的专栏
07-31 2800
本文仅仅是一个示例,没有多余的说教内容,实现登录Linux时命令行、图形界面、su等密码认证使用自己的PAM模块进行密码认证,这个示例不需要编写应用程序,因为系统的登录程序就是应用程序,例如:login、su、lightdm。 1。编写PAM模块动态库 #include <stdio.h> #include <stdlib.h> #include <string.h> #include <security/pam_appl.h> #include &
Linux 操作系统pam_tally2.so 启用SSH的合规登录失败处理方法
03-23
可以通过修改 /etc/pam.d/sshd 文件来启用 pam_tally2.so 模块,具体操作如下: 1. 打开 /etc/pam.d/sshd 文件,添加以下两行: auth required pam_tally2.so onerr=fail deny=3 unlock_time=300 account required pam_tally2.so 2. 保存文件并退出。 这样就可以启用 pam_tally2.so 模块来处理 SSH登录失败了。当用户登录失败次数达到 3 次时,该用户将被锁定 300 秒,直到解锁后才能再次尝试登录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值