Linux双因素身份认证大全:ssh + console + 图形界面

最新推荐文章于 2024-04-14 09:03:44 发布
最新推荐文章于 2024-04-14 09:03:44 发布
阅读量691 收藏 2
点赞数 1
分类专栏: Linux 双因素认证 身份认证 文章标签: linux 安全 系统安全 网络安全

对于咱们日常运维人员来讲,Linux应该是经常打交道的吧(如果不是,可能不是运维,是维修...开个玩笑),Linux在机房里面的地位就像Windows在办公空间里的地位牢不可破,各类软件的部署首选就是Linux!Linux运维常用的登录入口有3个:

Ssh、console、图形界面(如果有)。

为了更加安全的运维,通常会采用双因素身份认证系统动态口令做登录加固,下面简单聊下针对这3个入口如何做双因素身份认证加固?

首先会部署一套双因素身份认证系统,做账号和令牌的一一绑定、令牌激活等工作,通过管理令牌;

然后在Linux主机部署pam_radius插件,做动态口令输入框;

最后修改Linux文件,分别使ssh、console和图形界面调用双因素认证模块;


是不是很简单?好吧,我拿centos7.8(安装gnome)做个案例:

de30c67f91ef7a814d658c835e486434.png

1、双因素认证服务端

这边我是用的中科恒伦双因素身份认证服务,具体配置方法不便公开,可以进入中科恒伦官网,联系我们索要安装包和配置方法;

2、在Linux主机部署pam_radius插件

插件里有两个包:libCkey.so  和  pam_radius_auth.so

a5deee10f750d5a043c914f455dbbfbb.png

将libCkey.so放到/usr/lib64下

将pam_radius_auth.so放到/usr/lib64/security下

至此插件就搞定了,是不是非常简单?

3、修改对应的文件

这里需要注意下,虽然是3个入口,实际上加载的是两个文件,其中console加载的文件是“ /etc/pam.d/system-auth ”,ssh和图形界面加载的同一个文件“ /etc/pam.d/password-auth ”,所以重点需要关照这两个文件,具体如下:

配置认证服务器(这一步是共用!)

# mkdir /etc/raddb //创建raddb文件夹(名字固定)

# vim /etc/raddb/server  //配置认证服务器信息,“server”名字不能变

172.16.146.132      12345678        10  

认证服务器地址         共享秘钥          超时时间


配置console双因素认证

# vim /etc/pam.d/system-auth

直接放修改前后对比图吧,文字描述有点费劲

892ce70364ac2d147eec895afcdd126d.png

△ 修改前

b2555fc91425e79a01489824ffcb8863.png

△ 修改后

登录效果(console)

Login                          //用户名

Password                   //本机静态密码

CkeyPassword          //动态口令

6c5cff1d8498f12400e8f476019f9d46.png

至此使用动态口令登录console,实现双因素认证。

配置ssh和图形界面双因素认证

首先需要修改  /etc/ssh/sshd_config

# vim  /etc/ssh/sshd_config

    PasswordAuthentication no    

    ChallengeResponseAuthentication yes

    UsePAM yes

4c22db3703fc5bed24c6a3f2d003924c.png

然后修改“ /etc/pam.d/password-auth 

# vim /etc/pam.d/password-auth

* 此处修改方法和system-auth一致

d467544386c9ea65766b852cbac4afdc.png

△ 修改前

76315fb9140e5d8dacd032cbb5b31b45.png

△ 修改后

登录效果(ssh)

如果是图形工具,认证方式选择:Keyboard Interactive,命令行直接ssh

da8d956f6b093b07a39653f84eeae5d9.png

1、输入用户名

92641ae03291118ed0ceb430630fa94c.png

2、输入本地静态密码

ea1872ccce6030fa82bbb36345d71021.png

3、输入动态口令

820f693c3355da895c9cab539ebc3d0d.png

登录效果(图形界面)

1、输入用户名

c97fe4d677ba2a5673f866aa809fda15.png

2、输入本地静态密码

922dbf0065cada85843999bc3494bbf6.png

3、输入动态口令

404b57524f6fd67057a7ca2ffa900b9c.png

至此3个登陆入口都做了双因素身份认证,实现安全访问Linux主机。

关于使用动态口令的好处,网上有很多资料,这里就不做赘述,我后续也会专门写一篇,初定《双因素身份认证动态口令技术原理及优势》供你参考!

中科恒伦
关注
专栏目录
linux-commands-cheat-sheet-phoenixnap_linux_console_
09-30
Unix和Linux系统的命令行界面提供了强大的文本交互式环境,允许用户执行各种任务,如文件管理、进程控制、网络操作等,而无需图形用户界面。 标签“Linux console”进一步确认了这个话题的核心,即与Linux控制台...
linux跳过用户验证,Linux绕过认证自动登录Console
weixin_36338765的博客
05-02 851
网上找了挺多资料的,发现无非都是两个操作,一个是在/etc/login.defs里面将NO_PASSWORD_CONSOLE tty1:tty2:tty3:tty4:tty5:tty6注释掉,然后在/etc/inittab根据自己的gettty类型使用不同的命令来实现自动登录.但是不知道我是不是我的版本原因,我在/etc/login.defs找不到NO_PASSWORD_CONSOLE这一句,我的...
网站安全证书更新
qq_38642745的博客
07-17 865
1. Tomcat更新凭证JKS 修改D:\tomcat\conf\server.xml,并重启Tomcat 2. IIS更新凭证pfx 1.Console Run -->mmc Add/Remove Snap-in --> Certificates--> Computer account 2.Computer Management 完结 ...
Radware负载均衡-全系列产品证书更新(一)
2301_76601027的博客
11-23 215
日志信息显示WARNING Certificate named radware expired on WED MAY 08 13:52:20 2019,表明需要对管理证书更新。本期内容讲解的是关于Alteon和(Application Deliver,LinkProof,DefensePro)设备Web管理证书更新。set <Name> <-switch value> (修改证书信息)create/add <Name> <-switch value> (增加证书
使用otp动态口令ssh登录linux
superzlc的专栏
02-19 3026
linux上各应用的权限认证使用pam机制, pam参考资料:https://github.com/linux-pam/linux-pam,https://blog.51cto.com/tyjhz/1436175 这里需要一个支持otp验证的pam模块,可以直接用pam_script模块,通过编写脚本实现。 1. 安装pam_script yum install pam_script或从https://github.com/jeroennijhof/pam_script编译安装。 这里直...
linux c语言 密码,Linux 因子认证(密码+PIN)C语言版
weixin_42512936的博客
04-29 896
Linux 因子认证(密码+PIN)C语言版.md关键字Linux C语言 PAM SSH 2 Two Multi Factor Authentication Login 因子 多因子 密保 TOKEN 一次性口令 PASSPOD OTP yubikey 认证 安全 登录实现效果最简单的实现的方式,用户SSH登录时需要输入用户名+PIN+密码方式才能登录。这里的PIN是一个字符串,例如”ipc...
GrooveBerry_consoleclient:用于远程控制GrooveBerry_server的命令行界面(可用于通过ssh进行维护)
04-29
GrooveBerry_consoleclient是一款专为远程管理GrooveBerry_server设计的命令行工具,它使得用户可以通过SSH(Secure Shell)协议进行安全的系统维护和操控。这个项目基于Java编程语言实现,确保了跨平台的兼容性,...
omc-ssh:omc的ssh插件
03-22
5. **UI交互**: 插件可能提供一个用户界面,让用户能够直观地通过图形化方式配置和管理SSH连接。 6. **安装过程**: 使用Python的包管理器`pip`来安装插件,这表明该插件是用Python编写的,符合"Python"标签的提示。`...
IrLex (Win console telnet & ssh client)-开源
05-14
- 在Windows环境中,控制台应用程序通常是指那些在命令行界面(CMD或PowerShell)下运行的程序,它们不依赖于图形用户界面(GUI)。 - IrLex作为控制台应用,意味着用户可以通过输入命令来交互,适合那些习惯...
从零开始学Linux+魏红编著
12-11
Linux桌面环境提供了图形化的用户界面,如GNOME、KDE、XFCE等。初学者通常会从这些友好的环境中开始,它们提供了类似Windows或Mac OS的图标、菜单和窗口管理功能,使操作更为直观。 **3. 文件系统与命令行** Linux...
操作系统(Linux因素身份认证解决方案 - 中科恒伦CKEY DAS.pdf
10-15
帮助Linux操作系统实现因素身份认证,保护操作系统登录安全,同时讲述因素认证实现原理、认证方法、接入方式等
基于LinuxPAM机制的因素身份认证系统的设计
09-16
基于LinuxPAM机制的因素身份认证系统的设 李 更 深  王 丽 芳  蒋 泽 军  北 工 业 大 学计 算 机 学 院 摘  要 : 针 对 传 统 Linux操 作 系统 的本 地 登 录 方 式 和 网络 远 程 访 问 的 安 全 性 讲解
安全服务】windows/Linux安全基线检查|等保2.0安全技术测评指导
热门推荐
kkza的博客
08-13 1万+
一 身份鉴别 1 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 (1)对登录用户进行身份标识和鉴别,即登录时需要账号密码 -- win+R,输入netplwiz,按下列指示勾选内容 (2)身份标识具有唯一性,不同用户之间账号不能一样 (3)身份鉴别信息具有复杂度并且定期更换 一般指的是密码,应该设置密码策略,规定密码形式、长度、至少更改时间等 --计算机管理-本地用户和组-用户,关闭密码永不过期 -- 控制面板->管理工...
认证服务架构
黑色幽默的专栏
01-04 467
认证服务架构 背景 Linux 默认使用 PAM 作为认证框架,通过模块的方式添加不同的认证方式。但这种方式对于多路认证、多因子认证等方式支持困难,并且也不便于适配新的认证方式。 基于用户体验和适配的需要, UOS 设计并实现了一套认证服务,认证服务依然基于 PAM ,但在认证方式的添加上设计了新的规范。 设计的原则如下: 提供认证方案接入规范,便于适配 支持多路认证,增强用户体验 支持多因子认证,增强安全性 基于 =PAM= 框架,应用无需修改 架构 UOS 的认证服务架构如下: 流程 应用依然
Ubuntu SSH远程可以登录但图形化界面密码错误
lizhuo_lin的博客
11-17 2136
项目场景: 环境 ubuntu 16,安装了ros, Xfce,Xubuntu, 问题描述: 有一次重启之后就无法从图形化界面登录进去,向日葵也不可以,但我没有改过密码。 用别的电脑通过SSH远程登录,原来的密码是正确的。ssh改密码也可以,使用改完的密码也提示密码错误。 更换键盘也提示密码错误。 原因分析: 后来使用ctrl+alt+F1进入字符界面,输入@的时候,发现输入的是",神奇! 原来输入密码的时候,密码显示*,看不到自己输入的是啥,所以这个问题一直没有发现。 只要是在用户界面的时候.
提升Linux安全性:给主机添加ssh因子认证
m0_37680131的博客
12-07 349
在信息时代,服务器安全愈发成为首要任务。Linux主机通过ssh方式连接,当存在弱密码的情况下,通过暴力破解的方式会很容易就被攻破了,本文将向你展示如何通过Google Authenticator这一强大的因素认证工具,当你ssh登录主机输入用户密码后,还需要通过手机客户端输入google动态验证码才能正常登录,通过真实案例教你配置。赶快转发给你的小伙伴用起来图片。
Linux 之 利用Google Authenticator实现用户因素认证
qq_40907977的博客
03-12 1078
一、介绍:什么是因素认证 因素身份认证就是通过你所知道再加上你所能拥有的这二个要素组合到一起才能发挥作用的身份认证系统。因素认证是一种采用时间同步技术的系统,采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时动态密码卡与服务器分别根据同样的密钥,同样的随机参数(时间、事件)和同样的算法计算了认证的动态密码,从而确保密码的一致性,从而实现了用户的认证。 说白了,就像我们几年前去银行办卡送的口令牌,以及网易游戏中的
Linux因素的实现
最新发布
话说网络天下的专栏
04-14 182
Linux因素的实现,ubuntu因素,centos因素,国产操作系统因素
嵌入式linux 添加控制台(console登录用户和密码
ClouDianCe的专栏
01-31 3190
用户的添加这里不做详述! 实现该功能需要做到两步, 第一步是打开用户登录功能; 该功能是在 /etc/inittab 配置文件中设置的,打开该文档 找到这一行 ::respawn:/sbin/getty -L ttyS000 115200 vt100 -n root -I "Auto login as root ..." 一般默认是这样的,自动登录并且不用密码 将其修改为 ::respawn:/sbin/login 保存 第二步:设置用户的密码, passwd root ....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值