手把手教你给 SSH 启用二次身份验证

最新推荐文章于 2023-11-01 15:33:44 发布
最新推荐文章于 2023-11-01 15:33:44 发布
阅读量1k 收藏 3
点赞数
文章标签: linux jwt ssh gitlab javamail
原文链接:https://mp.weixin.qq.com/s?__biz=MzI3MTI2NzkxMA==&mid=2247502691&idx=1&sn=3bb1541da3c6a086c8adc53da66386aa&chksm=eac6ea4addb1635c3da852f3be1abf371d01a190e14a86d745346461a63557886c4f275583b2&scene=126&&sessionid=0
版权

公众号关注 「奇妙的 Linux 世界」

设为「星标」,每天带你玩转 Linux !

87cd61b06162f55679001842b0c67397.png

每日言论

年轻时,我犯的最大错误,就是没有及时离职。我以为我必须向公司证明自己,然后再离开,但这其实没有任何意义。你不欠雇主任何东西,不必向雇主证明任何事情。他们对你丝毫没有忠诚度,对你做对或做错、是聪明还是愚蠢,毫不在意。

把时间用在你最终不会引以为豪的东西上面,是一件可怕的事情,浪费了你在地球上的短暂旅程。

-- Hacker News 读者

目前来说,二次验证(这里就不做过多解释了)是比较常用的安全手段,通过设置二次验证(谷歌或其他工具),就可以有效的避免账户密码的泄露导致的安全问题。因为,每次登陆前都需要获取一次性验证码,如果没有验证码的话就无法成功登陆。

1安装 PAM 模块

# 时间与客户端进行校验
$ ntpdate pool.ntp.org

# Ubuntu
$ sudo apt install -y libpam-google-authenticator

# CentOS7
$ yum install -y epel-release
$ yum install -y google-authenticator

2生成二次验证代码

# 生成验证码
# 哪个账号需要动态验证码,请切换到该账号下操作

# -t: 使用 TOTP 验证
# -f: 将配置保存到 ~/.google_authenticator 文件里面
# -d: 不允许重复使用以前使用的令牌
# -w 3: 使用令牌进行身份验证以进行时钟偏移
# -e 10: 生成 10 个紧急备用代码
# -r 3 -R 30: 限速 - 每 30 秒允许 3 次登录
$ google-authenticator -t -f -d -w 3 -e 10 -r 3 -R 30
Warning: pasting the following URL into your browser exposes the OTP secret to Google:
  https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/vagrant@vagrant%3Fsecret%3DKZ7QPA11115XTQJQGBFWAIUJBY%26issuer%3Dvagrant
Your new secret key is: KZ7xxx7EI5123xxx123
Your verification code is 90xx71
Your emergency scratch codes are:
  1571xx03
  9968xx56
  2319xx89
  8321xx97
  9730xx15
  3424xx23
  5667xx03
  9408xx86
  7502xx41
  4677xx14

3配置 SSH 服务启用两步验证

# 启用两步验证
$ sudo vim /etc/pam.d/sshd
# @include common-auth  # 将禁用密码身份验证
auth required pam_google_authenticator.so  # 禁用密码验证

# 修改SSH配置文件
$ sudo vim /etc/ssh/sshd_config
Port 1090
ChallengeResponseAuthentication yes
PubkeyAuthentication yes
PasswordAuthentication no
AuthenticationMethods publickey,keyboard-interactive

# 重启SSH服务
$ sudo systemctl restart ssh.service

77fb03a3fcdad1918761d2252fdc76e6.png

点击上方图片,打开小程序,『美团外卖』红包天天免费领!

4配置 sudo 二次验证

# 保存并退出
$ sudo vim /etc/pam.d/common-auth
auth required pam_google_authenticator.so

# 重启SSH服务
$ sudo systemctl restart ssh.service

5手机安装 Google 身份验证器

1. 通过此工具扫描上一步生成的二维码图形,获取动态验证码
2. 之后,就可以使用手机进行二次认证了,才能登陆服务器了

6使用 Fail2ban 去屏蔽多次尝试密码的 IP

# 安装软件
$ sudo apt install -y fail2ban
# 配置文件
$ vim /etc/fail2ban/jail.local
[DEFAULT]
ignoreip = 127.0.0.1/8
bantime  = 86400
findtime = 600
maxretry = 5
banaction = firewallcmd-ipset
action = %(action_mwl)s

[sshd]
enabled = true
filter  = sshd
port    = 1090
action = %(action_mwl)s
logpath = /var/log/secure
# 重启服务
$ systemctl restart fail2ban

7从二次验证锁定中恢复

# 禁用特定用户的二步验证(无法访问身份验证器应用程序)
$ sudo vim /etc/ssh/sshd_config
AuthenticationMethods publickey,keyboard-interactive
AuthenticationMethods publickey

# 重启SSH服务
$ sudo systemctl restart ssh.service

本文转载自:「 Escape 的博客 」,原文:https://tinyurl.com/juadtb7x ,版权归原作者所有。欢迎投稿,投稿邮箱: editor@hi-linux.com。

e9270e8310224d002bc455137996ce10.gif

dd2c80d122cc629058f8021afec4567b.png

你可能还喜欢

点击下方图片即可阅读

5a6003da608d8d7bd7bacbbb905c32e5.png

如何优雅的在 Linux 下开机自动重启脚本

0122ce4bebfa69075f28ab8c61037965.png
『美团|饿了么』外卖红包天天免费领,吃饭省钱杠杠滴!

4cb8f7be9322ada26916ebba6da220b4.png

更多有趣的互联网新鲜事,关注「奇妙的互联网」视频号全了解!

运维之美
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ssh登录二次验证,让服务器更安全。
Janbar
11-12 1489
码云地址 sshdTwoVerification 介绍 ssh登录二次验证 问题:现在很多人的Linux服务器可能会被攻击,只校验一次后台用户名密码登录变得不再保险。 当然大家首先要做的是修改ssh服务端口,不要用默认22,这样会增加攻击难度,但还是不保险。 方案1:使用ssh密钥文件登录,好处就是拿不到密钥文件休想登录成功,而且还能对密钥文件再次添加密码, 这样的方案确实比较保险。但也有弊端,就...
Linux命令
diebaoyan1530的博客
04-28 158
Linux命令 用来实现某种功能的指令或程序。绿色:可以运行的程序。 Linux执行命令,需要找到对应的程序。命令的执行依赖于解释器 (默认解释器:/bin/bash)用户---->解释器---->内核---->硬件 分类内部命令:属于解释器的一部分外部命令:解释器之外的其他程序-------------------------------------------...
Linux ssh双向免密认证
weixin_30896763的博客
01-20 144
一、实现原理 使用一种被称为"公私钥"认证的方式来进行ssh登录。"公私钥"认证方式简单的解释是: 首先在客户端上创建一对公私钥(公钥文件:~/.ssh/id_rsa.pub;私钥文件:~/.ssh/id_rsa),然后把公钥放到服务器上(~/.ssh/authorized_keys),自己保留好私钥。当ssh登录时,ssh程序会发送私钥去和服务器上的公钥做匹配。如果匹配成功就可以登录了。 二、实...
Ansible 安全 之【ssh登录二次验证】
Yosigo_的博客
10-27 610
Ansible 安全 之【ssh登录二次验证】 本次二次认证方式使用 Google 身份验证器 配置ssh二次登陆验证 同步时间 # 下载同步时间命令 yum -y install ntpdate # 同步时间 /usr/sbin/ntpdate asia.pool.ntp.org >>/var/log/ntpdate.log 安装依赖包 yum install pam-devel make gcc-c++ wget -y 下载谷歌身份验证器包 wget https://g
手把手你学dsp2812,手把手你学dsp2812pdf下载,C,C++
09-10
手把手你学DSP2812》是一本专为初学者设计的 DSP(Digital Signal Processor)学习指南,主要围绕TI公司的TMS320F2812 DSP芯片进行讲解。这本书以其全面且易懂的特性,为读者提供了一个深入理解数字信号处理及其...
手把手你做UG二次开发.doc
01-09
手把手你做UG二次开发.doc
手把手你MFC编程计算器制作程.pdf
11-17
手把手你MFC编程计算器制作程.pdf
手把手你构建数据集.docx
12-16
手把手你构建数据集.docx
Linux 利用Google Authenticator实现ssh登录双因素认证
weixin_33695450的博客
04-12 305
原文地址https://www.cnblogs.com/tiannan/p/6238832.html1.介绍双因素认证:双因素身份认证就是通过你所知道再加上你所能拥有的这二个要素组合到一起才能发挥作用的身份认证系统。双因素认证是一种采用时间同步技术的系统,采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥,该密钥同时存放...
Krypton app ssh登陆二次认证简述
07-12 554
因为接手的一个项目里面有用到这个的原因,加上最近需要对项目的服务器进行调整,不得已需要了解一下这个玩意儿,中文的资料几乎没有,所以这里将自己了解到的记录下来 希望能帮到大家 ssh认证中,客户端A需要登陆服务器B,ssh客户端A需要使用自己的私钥加密客户端传过来的随机字符串,ssh服务端B收到客户端A使用A的私钥加密的字符串,B用A的公钥进行解密对比,一样则放行登陆成功,否则断开 而K...
Linux服务器的SSH登录开启Google两步验证功能
JackieDYH的博客
09-02 936
Google Authenticator是开源的两步验证工具,任何人都可以在自己的服务上部署两步验证来提高安全性。 注:Google Authenticator支持iOS和Android平台,其他平台似乎没有Google Authenticator。 CentOS服务器登录时启用两步验证的步骤: 1、Google Authenticator依赖时间与客户端进行校验,因此首先得把服务器...
ssh登录-Permission denied/authentication methods available
ljzhang的专栏
06-09 2664
当使用 SSH 登录 Linux 云服务器时,即便正确输入了密码,也会出现类似如下错误信息:Permission denied (publickey,gssapi-keyex,gssapi-with-mic). sshd[10826]: Connection closed by 192.168.0.1. Disconnected:No supported authentication methods
Linux下部署SSH登录时的二次身份验证环境记录(利用Google Authenticator)
最新发布
是你静香不够骚还是我大雄不行了
11-01 595
为了安全着想,可以使用GoogleAuthenticator(谷歌身份验证器),以便在账号和密码之间再增加一个验证码,只有输入正确的验证码之后,再输入密码才能登录。size of 1:30min to about 4min. Do you want to do so (y/n) n #默认动态验证码在30秒内有效,由于客户端和服务器可能会存在时间差,可将时间增加到最长4分钟,是否要这么做:这里选择是n,继续默认30秒。然后再次连接的时候,就会提示先输入二次身份验证码,再输入用户密码。
Ssh,scp自动登陆方法 双向认证
weixin_33720956的博客
05-30 117
Ssh,scp自动登陆方法 ########################### A为本地主机(即用于控制其他主机的机器) ; B为远程主机(即被控制的机器Server), 假如ip为192.168.60.110; A和B的系统都是Linux 在A上运行命令: # ssh-keygen -t rsa (连续三次回车,即在本地生成了公钥和私钥,不设置密...
控制服务基础命令,ssh服务及sshd的key认证
weixin_43467083的博客
11-02 196
###控制服务### 1.什么是控制服务 系统初始化进程中可以对服务进行相应的控制 2.当前系统初始化进程 systemd ##系统初始化进程 pstree ##显示系统中的进程树 3.系统进程控制命令 ssh sshd 客户端 服务端 systemctl ###服务控制命令 systemctl start sshd.service ###开...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值