Linux: 通过pam_python实现ssh双因子认证测试记录_七侠镇莫尛貝_20190730

最新推荐文章于 2024-05-14 11:19:59 发布
最新推荐文章于 2024-05-14 11:19:59 发布
阅读量1.1k 收藏 3
点赞数 3
分类专栏: Linux 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kimqcn4/article/details/97661681
版权

参考资料:http://www.ipcpu.com/2016/04/linux-pam-python/

测试环境:ubuntu16.04 srv

测试步骤:

1.从https://github.com/ipcpu/pam-python-ipcpu  下载pam_python源代码。

2.服务端安装gcc:  参考:https://blog.csdn.net/lucifa_li/article/details/79483686

apt-get  install  build-essential

3.安装pam_python依赖库:

apt install libpam0g-dev

pam_python依赖python2.7,如果没有还要装python2.7

4.添加测试用户:useradd_test.sh

#!/bin/bash

USERNAME=test
#USERNAME=$1

USERPASSWORD=userpassword
MOBNUM=18818181818


#删除用户,连带删除/home/username目录
userdel -r $USERNAME
sleep 1

useradd $USERNAME 
#passwd $USERNAME 
#修改用户密码
echo $USERNAME:$USERPASSWORD|chpasswd

usermod -s /bin/bash $USERNAME 
mkdir /home/$USERNAME
chown $USERNAME:$USERNAME /home/$USERNAME
usermod -d /home/$USERNAME $USERNAME
usermod -c ',,'$MOBNUM',' $USERNAME

echo -e 用户名:口令:用户标识号:组标识号:注释性描述:用户主目录:命令解释程序
cat /etc/passwd |grep $USERNAME

5.编译:

    make lib

编译成功后,把生成的pam_python.so(这里有编译好的二进制版本,仅在ubuntu16下测试过,就不用安装上面安装编译环境和依赖库了)放到/lib/x86_64-linux-gnu/security/下 (文章说放到/lib64/security/下,实测不行。可能是操作系统差异。)

 把测试的auth.py放到/lib64/security/下 (在pam-python-ipcpu-master\pam-python-ipcpu-master\utils\2factor-with-PIN\下)

这里做了一下修改,增加/var/log/pam_python_auth.log日志输出,以解决docker版ubuntu16下没有syslog的问题:

#!/usr/bin/env python
# -*- coding=utf-8 -*-
import random, string, hashlib, requests
import pwd, syslog
import logging
logging.basicConfig(level=logging.DEBUG,#控制台打印的日志级别
                    filename='/var/log/pam_python_auth.log',
                    filemode='a',##模式,有w和a,w就是写模式,每次都会重新写日志,覆盖之前的日志
                    #a是追加模式,默认如果不写的话,就是追加模式
                    format=
                    '%(asctime)s - %(pathname)s[line:%(lineno)d] - %(levelname)s: %(message)s'
                    #日志格式
                    )

def auth_log(msg):
	"""Send errors to default auth log"""
        '''	syslog.openlog(facility=syslog.LOG_AUTH)'''
	syslog.syslog("IPCPU-PAM-AUTH: " + msg)
	syslog.closelog()
	logging.info("PAM_PYTHON-AUTH: " + msg)


def get_user_number(user):
	"""Extract user's phone number for pw entry"""
	try:
		comments = pwd.getpwnam(user).pw_gecos
	except KeyError: # Bad user name
		auth_log("No local user (%s) found." % user)
		return -1
	
	try:
		return comments.split(',')[2] # Return Office Phone
	except IndexError: # Bad comment section format
		auth_log("Invalid comment block for user %s. Phone number must be listed as Office Phone" % (user))
		return -1
		
	
def pam_sm_authenticate(pamh, flags, argv):
	try:
		user = pamh.get_user()
		user_number = get_user_number(user)
	except pamh.exception, e:
		return e.pam_result
	
	if user is None or user_number == -1:
		msg = pamh.Message(pamh.PAM_ERROR_MSG, "Unable to send one time PIN.\nPlease contact your System Administrator")
		pamh.conversation(msg)
		return pamh.PAM_AUTH_ERR
		###""return pamh.PAM_ABORT""
		
		
	for attempt in range(0,3): # 3 attempts to enter the one time PIN
		msg = pamh.Message(pamh.PAM_PROMPT_ECHO_OFF, "Enter Your PIN: ")
		resp = pamh.conversation(msg)

		if resp.resp == user_number:
			auth_log("user: " + user + " login successful with PIN:" + resp.resp)
			return pamh.PAM_SUCCESS
		else:
			auth_log("user: " + user + " login failed with PIN:" + resp.resp)
			continue
	return pamh.PAM_AUTH_ERR

def pam_sm_setcred(pamh, flags, argv):
	return pamh.PAM_SUCCESS

def pam_sm_acct_mgmt(pamh, flags, argv):
	return pamh.PAM_SUCCESS

def pam_sm_open_session(pamh, flags, argv):
	return pamh.PAM_SUCCESS

def pam_sm_close_session(pamh, flags, argv):
	return pamh.PAM_SUCCESS

def pam_sm_chauthtok(pamh, flags, argv):
	return pamh.PAM_SUCCESS

这个.py实现了读取/etc/passwd文件的用户手机号(存放位置 test:x:1000:1000:,,18818181818,:/home/test:/bin/bash),写syslog(/var/log/syslog ,验证手机号等功能)

 

如果ldd pam_python.so 发现缺少库,可以到网上找解决办法。

我后面用docker版ubuntu16测试时,发现还依赖一个libpython2.7.so.1.0,(我在docker下使用的是自制的一个python2.7绿色版,未带libpython2.7.so.1.0这个文件),放置在/usr/lib/x86_64-linux-gnu/目录下即可。

 

6.修改/etc/pam.d/sshd,在文件最上增加一行(在最上加,将来ssh登陆测试时就先出现验证PIN码提示,再提示输入服务器用户密码;在最下加,就先提示输入服务器用户密码再出现验证PIN码提示):

    auth    requisite   pam_python.so auth.py

修改/etc/ssh/sshd_config,确保:

    ChallengeResponseAuthentication yes

    UsePAM yes。

7.重启ssh服务:

    systemctl restart sshd.service

    或者

    service ssh restart

8.测试:在另外一台服务器上,ssh test@IP,提示先输入PIN,再输入test账号口令。

 

 

20190730补充:

附录:一键安装pam_python测试环境脚本

#!/bin/bash

PAM_SSHD_FILE=/etc/pam.d/sshd
SSHD_CONFIG=/etc/ssh/sshd_config
PAM_SSHD_2P_CONTENT=$(sed -n 2p $PAM_SSHD_FILE)
#echo $PAM_SSHD_2P_CONTENT

PAM_SSHD_CONF="auth      requisite    pam_python.so   auth_pwd.py"

basepath=$(cd `dirname $0`; pwd)
#echo 当前目录:$basepath

if [ ! -d "/lib64/security" ]; then
	mkdir /lib64/security
fi
#rm -fr /lib64/security
rm -fr /lib64/security/auth_pwd.py
ln -s $basepath/lib64_security/auth_pwd.py /lib64/security/

rm -fr /lib/x86_64-linux-gnu/security/pam_python.so
#cp  $basepath/lib_x86_64-linux-gnu_security/pam_python.so /lib/x86_64-linux-gnu/security/
ln -s  $basepath/lib_x86_64-linux-gnu_security/pam_python.so /lib/x86_64-linux-gnu/security/

rm -fr /usr/lib/x86_64-linux-gnu/libpython2.7.so.1.0
ln -s $basepath/usr_lib_x86_64-linux-gnu/libpython2.7.so.1.0 /usr/lib/x86_64-linux-gnu/ 

rm -fr /usr/lib/x86_64-linux-gnu/libpython2.7.so.1.0
ln -s $basepath/usr_lib_x86_64-linux-gnu/libpython2.7.so.1.0 /usr/lib/x86_64-linux-gnu/libpython2.7.so.1.0

cd $basepath/python27x64_green
./init_python_env.sh

#modify /etc/pam.d/sshd for pam_python config
#在/etc/pam.d/sshd 第二行增加pam_python配置
cd $basepath
if [ "$PAM_SSHD_2P_CONTENT" != "$PAM_SSHD_CONF" ];then
	sed -i '2 i\'"$PAM_SSHD_CONF" $PAM_SSHD_FILE 
	echo -e "修改sshd 增加pam_python配置 OK!"
else
	echo -e "sshd中pam_pthon 配置已经存在,略过!"
fi

#modify /etc/ssh/sshd_config for pam_python
#LINE_NUM=grep -n "UsePAM" /etc/ssh/sshd_config|cut -d ":" -f 1
#ChallengeResponseAuthentication no
##UsePAM yes
#删除关键字开头的某行
#sed -i '/^ChallengeResponseAuthentication/d' $SSHD_CONFIG 
sed -i 's/ChallengeResponseAuthentication/#ChallengeResponseAuthentication/g' $SSHD_CONFIG 
sed -i '$a\ChallengeResponseAuthentication yes' $SSHD_CONFIG 
sed -i '$a\UsePAM yes' $SSHD_CONFIG 

echo -e "pam_python for Ubuntu16 env OK!"

#restart sshd
cd $basepath
./restart_sshd.sh

#add test user: test/userpassword
./useradd_test.sh

#ALL OK!
echo -e "Now run: ssh test@ip for test!"

20190801补充:

在auth.py基础上做了一些修改,实现了ssh登录时的二维码扫码登陆(显示二维码用qrcode_terminal库。二维码验证使用了公司的一个多因子认证产品的二维码接口和移动端APP)。可以方便地根据用户名做判断,比如:如果是root用户,就无需扫码直接登陆,其他用户则必须扫码登陆,防止使用secureCRT等客户端登陆时把自己拦在服务器外。

 

使用短信、APP动态口令登陆待补充。

七侠镇莫尛貝大侠2023
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Linux下使用pam_python实现SSH因子认证登录
chenglanqi6606的博客
05-09 1154
引言 Linux系统管理员(System Administrator,SA)经常碰到的问题就是放在公网的服务器经常被人猜测密码,每天都可以从系统日志里看到探测密码的信息,再加上最近很多厂商泄露了包含用户密码的数据库,撞库的行为也逐步开始转移到SSH上。 最初SA的防御手段一般是限制IP地...
chatgpt赋能Python-python_pam
turensu的博客
05-24 105
本文由chatgpt生成,文章没有在chatgpt生成的基础上进行任何的修改。以上只是chatgpt能力的冰山一角。作为通用的Aigc大模型,只是展现它原本的实力。对于颠覆工作方式的ChatGPT,应该选择拥抱而不是抗拒,未来属于“会用”AI的人。🧡AI职场汇报智能办公文案写作效率提升教程 🧡专注于AI+职场+办公方向。下图是课程的整体大纲下图是AI职场汇报智能办公文案写作效率提升教程中用到的ai工具。
15张超详细的Python学习路线图,纯良心分享,新手小白学习宝典
m0_60452293的博客
04-13 351
是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!结合自身的学习经验以及与很多自学者的沟通了解,我们整理出。,供诸位尚未入门或刚入门不久的同学参考。
Radius搭建以及因素认证
最新发布
if_Echo_else的博客
05-14 1315
网络接入服务器(Network Access Server,NAS)是RADIUS的客户端,它负责将用户的验证信息传递给指定的RADIUS服务器,然后处理返回的响应。搭建Radius服务器的方法:用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,方使用共享密钥,这个密钥不经过网络传播;给 /usr/local/etc/raddb/mods-available/sql做个软连接。
pam_python.so
07-30
pam_python是一个让linux ssh登陆实现因子认证的东东。通过修改auth.py,可以方便地加入自己希望的因子认证效果。 根据https://sourceforge.net/projects/pam-python/files/pam-python-1.0.6-1/编译好的pam_python.so二进制文件(仅在ubuntu16.04下测试过,其他系统未测试),不需要自己安装gcc编译了。
python ssh登录网络设备_Linux下使用pam_python实现SSH因子认证登录
weixin_32297123的博客
12-23 589
Linux下使用pam_python实现SSH因子认证登录.md关键字Linux PAM Python SSH 2 Two Multi Factor Authentication Login 因子因子 密保 TOKEN 一次性口令 PASSPOD OTP yubikey 认证 安全 登录引言Linux系统管理员(System Administrator,SA)经常碰到的问题就是放在公网的...
pam-python:允许用 Python 编写 PAM 模块-开源
05-30
这个 PAM 模块运行 Python 解释器,因此允许用 Python 编写 PAM 模块。 由于 Python 会产生相当大的开销,因此它的目标受众是 SysAdmins 编写一个 PAM 模块。 所有可用的文档都可以在 http://pam-python.sourceforge.net/ 在线阅读
pam_chroot.zip_linux pam _pam模块
09-14
Linux系统中,PAM(Pluggable Authentication Modules)是一个灵活的安全框架,它允许系统管理员根据需要选择不同的认证策略。PAM使得系统可以支持多种认证协议,如Shadow、NIS、Kerberos等,而无需修改核心代码。...
Linux-PAM-1.3.0.tar.gz_PAM_linux_pam 1.3.1
09-23
Linux-PAM-1.3.0.tar.gz这个压缩包中,包含了版本为1.3.0的PAM的源代码和其他相关文件,允许用户在系统上安装和配置PAM实现多样的认证策略。 PAM的核心概念在于“插件式”,这意味着它能够根据需求加载不同的...
pam_login.zip_PAM login_PAM login_linux login p_linux pam _linu
09-19
PAM(Pluggable Authentication Modules)是Linux操作系统中一个核心组件,用于管理用户身份验证、授权和服务。在“pam_login.zip”这个压缩包中,我们很可能会找到有关PAM如何处理Linux系统的登录过程的源代码。这...
pam.tar.gz_linux pam _linux-pam
09-24
**PAM(Pluggable Authentication Modules)在Linux系统中的应用** PAM,即插拔式认证模块,是Linux操作系统中一种灵活的身份验证框架。它允许系统管理员根据需求配置不同的认证策略,无需修改核心系统代码。PAM...
Pam-Python实现SSH的短信因素认证
python学习者的博客
08-21 2161
谈及到因子认证或多因子认证时,解决方案有很多,可能会想到短信验证码、RSA动态令牌、Google Authenticator或者Duo,在国内由于某些限制的原因,Google Authenticator和Duo的应用案例较少,而RSA动态令牌主要常见于一些大公司里面,而且使用RSA动态令牌需要独立独立部署RSA 服务器,并且软件需要收费,RSA SecurID密保也是要收费的,如何实现一种经济实...
基于pam实现的批量执行命令工具-Cyberark
网络安全领域优质创作者
06-24 299
基于pam实现的批量执行命令工具-Cyberark
别让你的服务器沦为肉鸡(ssh暴力破解),密钥验证、因子登录值得拥有
刘悦的技术博客
08-19 633
如果你购买了阿里云、腾讯云或者华为云等国内云服务上的服务器,默认登录都是以密码的方式,这就给潜在的渗透带来了机会,因为当你的linux服务器暴露在外网当中时,服务器就极有可能会遭到互联网上的扫描软件进行扫描,然后试图连接ssh端口进行暴力破解(穷举扫描),如果你不采取相对应的措施,迟早有一天服务器会被渗透者攻陷。因子认证,还会结合一个只有你有的硬件设备。结语:网络千万条,安全第一条,无论多么高深的技术,离开了安全性,那么一切都将失去意义,是空谈,空谈误国,实干兴邦,网络安全,造福大家。
SSH 登录添加 Google Authenticator 两步验证 因子认证
All of my life is programming!
03-30 8011
SSH 登录添加 Google Authenticator 两步验证 因子认证
PAM应用程序开发笔记记录(二)
I_am_Stars的博客
11-02 844
PAM应用程序开发笔记记录(二)一、PAM应用程序开发1.1 pam_start()函数1.2 pam_end()函数1.3 认证管理pam_authenticate()函数1.4 账户管理pam_acct_mgmt()函数1.5 会话管理pam_open_session()函数1.6 会话管理pam_close_session()函数1.7 密码管理pam_chauthtok()函数1.8 认证管理pam_setcred()函数二、PAM服务模块开发2.1 认证管理pam_sm_authenticate(
PAM常见的实操案例
热门推荐
Skycrab
03-07 1万+
#1.怎样才能强迫用户设置的密码不能与过去3次内的密码重复? 修改/etc/pam.d/system-auth,增加pam_unix.so的参数,如下 password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=3 #2.如何要求用户设置的密码必须包含5个数字,3
Linux PAM开发示例一:让自己的程序使用PAM认证方式
ljq32的专栏
07-31 3183
不对PAM模块机制做深入讲解,网上一堆文章已经把这个事儿做了,这里仅仅是PAM实现示例以记录自己的学习过程和成果。 本文仅仅实现一个PAM示例,即一个用户程序通过PAM机制进行密码认证,编写一个用户程序,编写一个pam模块动态库即可完成这个功能。 一。PAM介绍 Linux-PAM(即linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说,不用(重新编写)重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机制,这种方式下,就算升级本地认证机制,也不用修
linux身份鉴别检查方法,Linux身份鉴别机制实现分析(5)
weixin_30043767的博客
05-13 940
原标题:Linux身份鉴别机制实现分析(5)2.4.2文件二 pam_access.cPAM中具有多种服务模块,服务模块就是具体的身份验证方式,传统的UNIX验证方式也是以pam_unix.so的形式挂载在pam的服务模块中。2.4.2.1 文件描述pam_access模块提供基于登录用户名、客户IP或者主机名、网络号以及登录终端号的访问控制。所属类型是account,即帐号管理类型,该模块的配置...
Linux 操作系统pam_tally2.so 启用SSH的合规登录失败处理方法
03-23
可以通过修改 /etc/pam.d/sshd 文件来启用 pam_tally2.so 模块,具体操作如下: 1. 打开 /etc/pam.d/sshd 文件,添加以下两行: auth required pam_tally2.so onerr=fail deny=3 unlock_time=300 account required...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值