Google Authenticator Libpam 教程

Google Authenticator Libpam 教程

google-authenticator-libpam项目地址:https://gitcode.com/gh_mirrors/go/google-authenticator-libpam

1. 项目介绍

Google Authenticator Libpam 是一个开源库，用于将谷歌认证器（Google Authenticator）集成到基于PAM（Pluggable Authentication Modules）系统的服务中，以实现多因素身份验证。它支持基于时间的一次性密码（TOTP）和基于计数的一次性密码（HOTP），可以增强服务器的安全性，防止仅凭静态密码就能访问系统的情况。

2. 项目快速启动

安装 Google Authenticator Libpam

sudo apt update
sudo apt install libpam-google-authenticator -y

配置 Pam 文件

编辑 /etc/pam.d/common-auth：

sudo nano /etc/pam.d/common-auth

在文件中找到类似 auth [success=1 default=ignore] pam_unix.so nullok 的行，然后在其上方添加以下行：

auth required pam_google_authenticator.so

保存并退出。

初始化 Google Authenticator

运行命令来启用新特性：

google-authenticator

这将显示一个二维码，你需要使用手机上的Google Authenticator应用程序扫描这个二维码。

配置 SSH Server

编辑 /etc/ssh/sshd_config 文件，确保启用了挑战响应认证：

ChallengeResponseAuthentication yes

重启 SSH 服务：

sudo systemctl restart ssh

至此，你已完成了基本的配置。

3. 应用案例和最佳实践

• SSH 登录保护：在企业环境中，你可以为所有 SSH 用户启用 Google Authenticator，以确保即使密码被泄露，攻击者也无法通过 SSH 访问服务器。
• Web 服务安全：集成到 web 服务的登录流程，要求用户输入一次性密码，增加账户安全性。
• 定期更新密钥：鼓励用户定期更新他们的密钥，提高安全系数。
• 离线备份：让用户创建密钥的离线副本，以防设备丢失或更换。

4. 典型生态项目

• Google Authenticator App：与库配合使用的手机应用程序，可在 iOS 和 Android 上找到。
• Libqrencode：可选依赖库，用于生成二维码，方便用户导入到 Authenticator 应用。
• PAM 系统：Google Authenticator Libpam 基于的认证框架，广泛应用于各种 Linux 发行版。

通过这些步骤，你可以有效地利用 Google Authenticator 提升你的系统的安全性。记得定期检查你的配置，以保持最佳的安全实践。

google-authenticator-libpam项目地址:https://gitcode.com/gh_mirrors/go/google-authenticator-libpam