利用谷歌安全令牌(google authenticator)为服务器ssh添加二次验证功能

最新推荐文章于 2024-06-03 08:00:00 发布
最新推荐文章于 2024-06-03 08:00:00 发布
阅读量2.8k 收藏 4
点赞数 1
分类专栏: linux服务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hiphop321/article/details/99627458
版权

目录

准备

重要的事情:一定要改主机名!!!

因为你在第一次扫二维码的时候,手机上会自动识别你的当前主机名,如果命名不方便你自己区分各个主机,那么后续你需要手动在手机上更改这些信息,机器多的时候会非!常!麻!烦!

开始

1、Google Authenticator依赖时间与客户端进行校验,因此首先得把服务器时间更新至最新

# ntpdate time.nist.gov

2、安装或更新repo(ubuntu自己改用apt,下同)

# yum install epel-release -y
# sudo yum install –y https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm (红帽系统)

3、安装Google Authenticator

# yum install google-authenticator -y

4、为当前用户开启两步验证

注意:哪个账号需要动态验证码,请切换到该账号下操作。(可以在不同用户下执行这个命令以生成各自的二次验证码)

# google-authenticator

这个是命令。

在这里插入图片描述

5、初始化,交互选项的翻译

Do you want authentication tokens to be time-based (y/n) y
Do you want me to update your “/root/.google_authenticator” file (y/n) y #提示是否要更新验证文件,选择y ,以上5个验证码保存在此文件中

Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y #禁止使用相同口令

By default, tokens are good for 30 seconds and in order to compensate for
possible time-skew between the client and the server, we allow an extra
token before and after the current time. If you experience problems with poor
time synchronization, you can increase the window from its default
size of 1:30min to about 4min. Do you want to do so (y/n) n #默认动态验证码在30秒内有效,由于客户端和服务器可能会存在时间差,可将时间增加到最长4分钟,是否要这么做:这里选择是n,继续默认30秒

If the computer that you are logging into isn’t hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting (y/n) y #是否限制尝试次数,每30秒只能尝试最多3次,这里选择y进行限制

6、关于google authenticator 本身的配置在上一步就告一段落,接下来要对操作系统本身的ssh进行配置,让ssh对google authenticator 支持

# vim /etc/pam.d/sshd  (增加)

auth required pam_google_authenticator.so

在这里插入图片描述

# vim /etc/ssh/sshd_config (修改为yes)

ChallengeResponseAuthentication yes
如果有需求需要密钥+google auth的话,则做如下修改
PubkeyAuthentication yes
ChallengeResponseAuthentication yes
AuthenticationMethods publickey,keyboard-interactive
PasswordAuthentication yes #这一项是决定是否启用密码验证,根据自身需求改

在这里插入图片描述

改完之后重启sshd

#systemctl restart sshd

后记:

基于谷歌验证器的这种二次验证方案,真正应用到生产环境的时候,往往不需要每台服务器创建不同的验证密钥。
设想一下,如果一个项目,用7-8台服务器,那么就需要在手机上生成7-8个秘钥。
如果需要连接服务器的账户有3个(两个普通管理员,一个root)那么秘钥就更多了。
其实这么多秘钥并不是很有必要。

所以我们可以整个项目用一个秘钥,关键操作就是在用户家目录下找到.google_authenticator,将这个文件拷贝到目标机器,对应的用户的家目录下。记得:
一、文件的权限不能高于600,
二、不要再多此一举运行google_authenticator命令,因为这样会刷新覆盖掉刚刚拷贝来的文件。

有一天,客户嫌登录麻烦,要我把谷歌验证器卸掉

于是乎:

yum remove google_authenticator

或者

apt remove google_authenticator

接着需要改的配置文件有两个,就是和安装配置的时候一样的两个

vim /etc/ssh/sshd_config
---
vim /etc/pam.d/sshd
hiphop321
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用谷歌身份验证器(Google Authenticator)保护你的后台
张圣晨的博客
03-27 1万+
为何要使用谷歌身份验证器 普通的网站只使用账号、密码、图形验证码进行后台登录。根据我(作为站长)多年的经验来看,这种方式安全性很低,尤其是使用 http 协议,明文的帐号和密码相当于在网络上裸奔。如果使用 https 方式,被撞库攻击的概率也比较大:比如在多个数字货币交易所,使用了相同的密码。 稍微安全点的方式,是每次登录时都使用 短信验证码 或 邮箱验证码 进行验证,这样后台的安全性提高了一...
c#使用谷歌身份验证GoogleAuthenticator
01-08
谷歌身份验证器(Google Authenticator)是一种两步验证(2-Step Verification)工具,它为用户账户提供了额外的安全层。在传统的用户名和密码验证之外,谷歌身份验证器生成一次性密码(OTP),这个密码每隔一段时间...
get-google-token:为您获取谷歌令牌
06-06
getgoogletoken ##获取Code 进入 创建新的用户端Id 选择第一个,浏览器 两个网址填一下 和 浏览器输入: (manual,离线必须有) ##执行Cli 获取 refresh_token 和 access_token $ [sudo] npm -g install getgoogletoken $ getgoogletoken YOU_CODE YOU_CLIENT_ID YOU_CLIENT_SECRET YOU_REDIRECT_URL ##实际执行的过程 链接跳转到 YOU_REDIRECT_URL?state=/profile&code=YOU_CODE (auto) 于是得到了CODE form 中带上code,client_id.... (auto) 得到了 access_token 和 refresh_token (重要) form 带
django-google-auth google令牌(二)
Auto
04-03 1231
文章目录googleauth#0 GitHub#1 环境#2 开始 googleauth #0 GitHub https://github.com/Coxhuang/django-google-auth #1 环境 python3.6 #2 开始 安装 django-google-auth2 pip3 install django-google-auth2 添加 django_goog...
集成Google Authenticator实现多因素认证(MFA)
最新发布
Blueeyedboy521的博客
06-03 1306
尤其是在面临日益复杂的网络安全威胁时,MFA的实施可以有效减少未经授权的访问,提高账户安全性。同时,将“实体所有”、“实体特征”、 “实体所知”三种不同认证因素结合起来增强系统或设备的安全性是研究人员容易设想的方向,因此多因素认证解决认证安全问题是大势所趋。基于OTP技术的MFA认证,是指在传统的用户名密码认证的基础上,增加一个额外的OTP认证。基于实体所知的方法是最为广泛使用的方法,如密码、验证码等,其成本低、实现简单,但同时也面临较大安全威胁如暴力破解和木马侵入等。
动态令牌谷歌身份验证器)的实现
bigcarp的专栏
09-11 7973
实现原理: 1、服务端首先要约定一个base32的密钥,并且把这个密钥与某个账户关联。 2、在页面显示一个二维码,内容是一个URI地址(otpauth://totp/账号?secret=密钥)。 3、通过手机端的谷歌身份验证器软件扫描这个二维码,使密钥保存在手机客户端 # -*- coding: utf-8 -*- import base64 import hashlib import hmac import time import datetime import random as _ran
自定义TOTP方法,实现google的TOTP令牌token
weixin_40753454的博客
03-31 1174
参考链接: https://blog.csdn.net/jailman/article/details/77573792 同时,做了: 1. 位数的修改 2. 补充了注释说明 3. 优化了Python2版本代码升级到Python3版本。 ''' @Author: Mikeliu@2020 @Date: 2020-03-30 14:28:34 @LastEditTime: 2020-03-30 18...
google-authenticatorGoogle身份验证
02-03
Google-Authenticator Google身份验证器##用法###步骤1-注册申请$ google = new GoogleAuthenticator ();// Register applicationecho $ google -> getQRCodeUrl ( 'MyApplicationName' );// Save secret Key$ ...
谷歌身份验证器(Google Authenticator)GA
01-13
简单学习下GA的生成算法,写了个小工具;当做学习记录 可以去哈勃看看: https://habo.qq.com/file/showdetail?md5=512eea7730feda2bc412df8dcfd061ef&pk=ADcGY11uB24IPls%2FU2o%3D
GoogleAuthenticator谷歌身份验证器官方最新安卓版.apk
07-02
GoogleAuthenticator谷歌身份验证器官方最新安卓版.apk
Google身份验证Google Authenticator.apk
10-15
首先,用户需要在GitLab个人设置页面找到“安全”选项,开启双重身份认证功能,并选择Google Authenticator作为验证方式。接着,按照提示操作,用手机扫描显示的二维码。一旦完成,每次登录GitLab时,系统都会要求...
google-authenticator-1.02.tar.gz
03-31
谷歌身份验证器,即Google AuthenticatorGoogle身份验证器)v2.33 谷歌推出的一款动态口令工具,解决大家的google账户遭到恶意攻击的问题。在SSH账号和密码之间再增加一个验证码,只有输入正确的验证码之后,再输入密码才能登录。这样就增强了ssh登录的安全性。
用双因子认证2FA替换Google authenticator谷歌令牌,助力准上市公司实现等保安全审计
yuzijiang11111的博客
12-27 1133
宁盾双因子认证助力准上市公司满足安全审计要求,替换Google Authenticator 谷歌令牌实现合规。
谷歌身份验证验证码不对怎么回事_暴雪战网游戏手机安全令,身份验证器的使用方法...
weixin_39578197的博客
10-23 2040
对于没有绑定安全令的玩家,国际服客服明确表示只会帮助一次找回被盗账号,意思就是说,如果在没有绑定安全令的情况下,再次账号被盗,客服将不会受理,至于国服没有绑定安全令的情况下,对于再次账号被盗是否提供账号找回,目前尚不清楚。国服叫暴雪游戏手机安全令,国际服叫暴雪身份验证器,不互通使用,一个手机听说只能同时安装其中一个安全令或验证器。首次启用会提示保存安全令(验证器)序号等信息,这个玩家要妥善保管并备...
堡垒机配置SSH使用libpam-google-authenticator双重验证
胡振伟博客
06-04 929
堡垒机配置SSH使用libpam-google-authenticator双重验证 手机上安装authenticator (微软出的) 在安卓或苹果app store里下载authenticator (微软出的,谷歌的有些市场下载不了),要用它生成的动态验证码来登录服务器,避免自己的公钥或密码被别人知道了带来的安全隐患 安装libpam-google-authenticator apt install libpam-google-authenticator -y 配置ssh # 编辑sshd的PAM文件,
安装google-authenticator实现动态密码
my_bai的博客
03-16 9360
yum -y install mercurial pam-devel 安装Google Authenticator: tar jxvf libpam-google-authenticator-1.0-source.tar.bz2 cd libpam-google-authenticator-1.0 make make install   SSH登录时调用google-authenti
SSH 登录添加 Google Authenticator 两步验证 双因子认证
All of my life is programming!
03-30 8041
SSH 登录添加 Google Authenticator 两步验证 双因子认证。
ssh密码登录+ Google Authenticator 实现双向认证
weixin_30596343的博客
05-17 276
目录 徐亮伟, 江湖人称标杆徐。多年互联网运维工作经验,曾负责过大规模集群架构自动化运维管理工作。擅长Web集群架构与自动化运维,曾负责国内某大型电商运维工作。 个人博客"徐亮伟架构师之路"累计受益数万人。 笔者Q:552408925 架构师群:471443208 通常我们直接通过ssh输入密码连接服务器,但这样很容易出现暴力破解情况,所以我们...
Linux 实现 Google Authenticator 动态密码 + SSH 密码双重认证
Jesse技术博客
09-26 2095
说明:一般我们考虑到VPS的安全问题的时候,都是更改SSH端口和密码,然后更安全的也就是禁用密码使用密匙登录。方法很久前就水过了,这里再分享一个方法,可以在VPS上安装一个Google Authenticator(谷歌身份验证器),这样我们登录VPS的时候,不仅需要密码正确,而且还要你输入正确的动态验证码才能登录进去,这样安全性就高了不少,这里就说下CentOS、Debia...
python模拟生成steam手机二次验证令牌
05-24
要模拟生成 Steam 手机二次验证令牌,你需要使用 Python 中的 PyOTP 库。PyOTP 是一个用于生成和验证一次性密码(OTP)的 Python 库,包括 Google Authenticator 兼容算法。 首先,你需要安装 PyOTP 库。可以使用 pip 命令来安装: ``` pip install pyotp ``` 然后,你可以使用以下代码来生成 Steam 手机二次验证令牌: ```python import pyotp # 获取 Steam 账号的 shared_secret 密钥 shared_secret = 'YourSharedSecretKeyHere' # 创建 TOTP 对象 totp = pyotp.TOTP(shared_secret, digits=5, interval=30) # 生成令牌 token = totp.now() # 输出令牌 print('Your Steam Mobile Token is:', token) ``` 在上面的代码中,你需要将 `'YourSharedSecretKeyHere'` 替换为你自己的 Steam 账号的 shared_secret 密钥。你可以在 Steam 客户端中启用手机身份验证并获取该密钥。 此代码生成的令牌将与 Steam 客户端中生成的令牌相同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值