谷歌的双向认证+nginx源码安装

最新推荐文章于 2024-11-04 21:15:00 发布
最新推荐文章于 2024-11-04 21:15:00 发布
阅读量1.9k 收藏 37
点赞数 40
文章标签: nginx linux 运维 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43275808/article/details/139157582
版权

google的双向认证

Google Authenticator介绍

通常我们直接通过ssh输入密码连接服务器,但这样很容易出现暴力破解情况,所以我们可以结合 google的动态认证+ssh密码,这样能够大大的提升登陆的安全。简单来说,就是当用户通过ssh登陆系 统时,先输入google的随机验证码,然后在输入服务器的ssh密码

话不多说先展示我上家公司在用的双向认证,可以看得见我们有很多平台,都接入了Google 的双向认证

  • giltab

  • jumpserver

  • 服务器

  • zabbix

部署Google Authenticator

# 安装依赖
yum -y install pam-devel libpng-devel autoconf automake libtool
​
# 下载代码
## 国内源
wget http://test.driverzeng.com/other/1.04.tar.gz
## 国外源
wget https://github.com/google/google-authenticator-libpam/archive/1.04.tar.gz
​
# 解压代码
[root@web02 ~]# tar xf 1.04.tar.gz
​
# 进入工作目录
[root@web02 ~]# cd google-authenticator-libpam-1.04/
​
# 构建
./bootstrap.sh
​
# 生成
./configure
​
# 编译安装
make && make install
​
# 验证插件是否安装
ll /usr/local/lib/security/
total 136
-rwxr-xr-x 1 root root 1021 May 21 08:59 pam_google_authenticator.la
-rwxr-xr-x 1 root root 133552 May 21 08:59 pam_google_authenticator.so
​
# 将安装好的软件拷贝到系统库
cp /usr/local/lib/security/pam_google_authenticator.so /usr/lib64/security/

生成google认证识别

google-authenticator
Do you want authentication tokens to be time-based (y/n) y # 输入y!
​
Do you want me to update your "/root/.google_authenticator" file? (y/n) y # 输入y
​
Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y # 输入y
​
Do you want to do so? (y/n) y # 输入y
​
Do you want to enable rate-limiting? (y/n) y # 输入y
​
是否更新用户的 Google Authenticator 配置文件,选择 y 才能使上面操作对当前 root 用户生效,其
实就是在对应用户的 Home 目录下生成了一个 .google_authenticator 文件,如果你想停用这个用户的
Google Authenticator 验证,只需要删除这个用户 Home 目录下的 .google_authenticator 文件
就可以了。
​
Do you want me to update your "/root/.google_authenticator" file? (y/n) y
每次生成的认证码是否同时只允许一个人使用?这里选择 y。
​
Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y
每次生成的令牌30s生成一次,最高允许存在误差4分钟。
​
​
By default, a new token is generated every 30 seconds by the mobile app.
In order to compensate for possible time-skew between the client and the server,
we allow an extra token before and after the current time. This allows for a
time skew of up to 30 seconds between authentication server and client. If you
experience problems with poor time synchronization, you can increase the window
from its default size of 3 permitted codes (one previous code, the current
code, the next code) to 17 permitted codes (the 8 previous codes, the current
code, and the 8 next codes). This will permit for a time skew of up to 4 minutes
between client and server.
Do you want to do so? (y/n) y
​
​
​

将google 2FA加入到ssh

# 编辑配置文件
vim /etc/pam.d/sshd
#%PAM-1.0
auth required pam_google_authenticator.so
​

修改ssh配置文件 关联google认证

# 编辑配置文件
vim /etc/ssh/sshd_config
:69
# 将no 改为 yes
ChallengeResponseAuthentication no -----> yes
​
# 重启ssh服务
systemctl restart sshd
​

验证谷歌双向认证

# 使用机器的远程连接
[root@web01 ~]# ssh root@10.0.0.8
The authenticity of host '10.0.0.8 (10.0.0.8)' can't be established.
ECDSA key fingerprint is SHA256:086q8NqRUTkXtvcfy0QckL5pD2RrVUo9qCu6lum+8gI.
ECDSA key fingerprint is MD5:81:cc:e8:88:ad:35:53:7d:07:22:9c:44:2a:6a:a2:2e.
xshell如何验证
​
# 第一次连接的交互 是否连接 输入yes
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.0.0.8' (ECDSA) to the list of known hosts.
​
# 输入google认证的随机码
Verification code:
​
# 输入root用户的密码
Password:
Last failed login: Tue May 21 09:59:30 CST 2024 from 10.0.0.1 on ssh:notty
There were 3 failed login attempts since the last successful login.
Last login: Tue May 21 09:52:10 2024 from 10.0.0.1
​
# 成功登录
[root@web02 ~]#
​

xshell如何验证

nginx

# yum安装
优点:安装启动简单
缺点:
​
# 源码安装
优点:版本随意
缺点:安装复杂 升级繁琐
​
# 二进制安装 绿色软件
解压开即用

nginx源码安装

# 下载源码包
wget https://nginx.org/download/nginx-1.24.0.tar.gz
# 解压源码包
tar xf nginx-1.24.0.tar.gz
# 创建工作目录
mkdir /app
# 移动nginx目录到工作目录
mv /root/nginx-1.24.0 /app
# 进入工作目录nginx
cd /app/nginx-1.24.0/
# 生成
./configure --prefix=/opt/nginx-1.24.0 --with-http_ssl_module --with-http_stub_status_module
​
# 问题1.缺号pcre的依赖
./configure: error: the HTTP rewrite module requires the PCRE library.
You can either disable the module by using --without-http_rewrite_module
option, or install the PCRE library into the system, or build the PCRE library
statically from the source with nginx by using --with-pcre=<path> option.
​
## 解决方案
yum install -y pcre-devel
​
# 再次执行生成命令
./configure --prefix=/opt/nginx-1.24.0 --with-http_ssl_module --with•http_stub_status_module
# 问题2 缺少openssl的依赖
./configure: error: SSL modules require the OpenSSL library.
You can either do not enable the modules, or install the OpenSSL library
into the system, or build the OpenSSL library statically from the source
with nginx by using --with-openssl=<path> option.
​
## 解决方案
yum install -y openssl-devel
​
# 出现如下内容就代表生成完毕
Configuration summary
+ using system PCRE library
+ using system OpenSSL library
+ using system zlib library
nginx path prefix: "/opt/nginx-1.24.0"
nginx binary file: "/opt/nginx-1.24.0/sbin/nginx"
nginx modules path: "/opt/nginx-1.24.0/modules"
nginx configuration prefix: "/opt/nginx-1.24.0/conf"
nginx configuration file: "/opt/nginx-1.24.0/conf/nginx.conf"
nginx pid file: "/opt/nginx-1.24.0/logs/nginx.pid"
nginx error log file: "/opt/nginx-1.24.0/logs/error.log"
nginx http access log file: "/opt/nginx-1.24.0/logs/access.log"
nginx http client request body temporary files: "client_body_temp"
nginx http proxy temporary files: "proxy_temp"
nginx http fastcgi temporary files: "fastcgi_temp"
nginx http uwsgi temporary files: "uwsgi_temp"
nginx http scgi temporary files: "scgi_temp"
​
# 编译 (让系统能够识别你的代码)
make
# 安装
make install
​
# 添加软链接
ln -s /opt/nginx-1.24.0/ /opt/nginx
​
# 添加环境变量
vim /etc/profile.d/nginx.sh
export NGINX_PATH=/opt/nginx/sbin
export PATH=$PATH:$NGINX_PATH
​
# 生效环境变量
source /etc/profile
​
# 检验环境变量
[root@web02 nginx-1.24.0]# echo $PATH
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin:/opt/nginx/sbin:/opt/nginx-1.26.0/sbin
​
# 启动nginx
nginx
​
# 检查进程
[root@web02 nginx-1.24.0]# ps -ef | grep nginx
root 17899 1 0 11:57 ? 00:00:00 nginx: master process nginx
nobody 17900 17899 0 11:57 ? 00:00:00 nginx: worker process
​
# 检查端口
[root@web02 nginx-1.24.0]# netstat -lntup | grep 80
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
17899/nginx: master
​
# 访问nginx页面
10.0.0.8

HYgengming
关注
Chrome HTTPS双向认证配置
adrninistrat0r的博客
03-01 1万+
1. 前言 以下实现了当Chrome浏览器访问HTTPS双向认证的网站时,自动选择客户端证书。 以下在Windows 7环境进行验证。 1.1. 客户端证书设置 客户端在导入PKCS# 12证书(pfx或p12格式)后,可使用“certmgr.msc”命令打开证书管理器查看证书,或使用Chrome的管理证书功能查看证书。 假如当前已导入颁发者为client_url的证书,使用证书管理器查看如下。 ...
浏览器访问双向认证web服务
zhangxm_qz的博客
05-13 2326
文章目录启动双向认证web服务生成客户端证书浏览器导入证书浏览器访问验证 之前我们学习过https ,在服务器端部署证书,客户端通过对证书的验证目标服务器的合法性。那么如果服务器端设置了双向认证,浏览器该如何访问呢,这里我们采用nsq 的 nsqd服务来模拟https双向认证服务。 启动双向认证web服务 nsq服务介绍及如何启动双向证书验证的http服务参考nsq系列博客snqdTLS及证书验证测试 [root@localhost bin]# ./nsqd --config nsqd.conf [nsqd
Google身份验证器Google Authenticator的java服务端实现
天蓝色的程序员
11-20 4862
Google身份验证器Google Authenticator服务端java实现代码。在本实现demo中,注释说明非常详尽,可供参考,如遇问题欢迎可以留言沟通。废话不多说,直接上代码,本次代码尽可能简单,最简单的结构附图。
Linux 之 利用Google Authenticator实现用户双因素认证
qq_40907977的博客
03-12 1200
一、介绍:什么是双因素认证 双因素身份认证就是通过你所知道再加上你所能拥有的这二个要素组合到一起才能发挥作用的身份认证系统。双因素认证是一种采用时间同步技术的系统,采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时动态密码卡与服务器分别根据同样的密钥,同样的随机参数(时间、事件)和同样的算法计算了认证的动态密码,从而确保密码的一致性,从而实现了用户的认证。 说白了,就像我们几年前去银行办卡送的口令牌,以及网易游戏中的
通过谷歌身份验证器实现双保险认证(1)
sjc090132的博客
08-29 815
通过谷歌身份验证器来实现双重保障
某视频聊天室源码-服务端+客户端+网站程序
12-19
该视频聊天室源码是一个完整的解决方案,包含了服务端、客户端以及网站程序的组成部分,用于构建一个实时的在线视频交流平台。下面将详细讲解这个源码中的关键知识点。 1. **服务端开发**: - **网络协议**:...
android开源项目源码,完整商城项目源码(服务端+客户端).zip
12-25
源码中可能包含了如LiveData、Repository、ViewModel等组件的使用,这有助于理解数据的双向绑定和生命周期管理。 3. **网络请求库**:为了实现与服务端的通信,项目可能会使用Retrofit、OkHttp等网络请求库,通过...
菜鸟nginx源码剖析 框架篇(一) 从main函数看nginx启动流程
@Echo· 个人技术笔记
11-12 2万+
俗话说的好,牵牛要牵牛鼻子 驾车顶牛,处理复杂的东西,只要抓住重点,才能理清脉络,不至于深陷其中,不能自拔。对复杂的nginx而言,main函数就是“牛之鼻”,只要能理清main函数,就一定能理解其中的奥秘,下面我们就一起来研究一下nginx的main函数。
http/2.0 nginx配置
投笔从容的博客
02-14 2061
1、什么是HTTP 2.0 HTTP/2(超文本传输协议第2版,最初命名为HTTP 2.0),是HTTP协议的的第二个主要版本,使用于万维网。HTTP/2是HTTP协议自1999年HTTP 1.1发布后的首个更新,主要基于SPDY协议(是Google开发的基于TCP的应用层协议,用以最小化网络延迟,提升网络速度,优化用户的网络使用体验)。 2、与HTTP 1.1相比,主要区别包括 HTTP1.1...
grpc-java-1.9.0.zip_grpc-java 1.9.0源码
09-24
1. **ProtoBuf(Protocol Buffers)**:GRPC 使用 Google 的 Protocol Buffers(简称 ProtoBuf)作为接口定义语言(IDL)。通过 `.proto` 文件定义服务接口和消息类型,ProtoBuf 编译器会生成对应语言的客户端和...
google-authenticatorGoogle身份验证器
02-03
Google-Authenticator Google身份验证器 ##用法 ###步骤1-注册申请 $ google = new GoogleAuthenticator (); // Register application echo $ google -> getQRCodeUrl ( 'MyApplicationName' ); // Save secret Key $ secretKey = $ google -> getSecretKey (); ###步骤2-验证码 $ google = new GoogleAuthenticator ( $ secretKey ); // User submit code $ userSubmitCode = '' ; // Verify Code if ( $ google -> verifyCode ( $ userSubmitCode )) { // OK } ##示范
googleauthenticator:谷歌身份验证器
07-10
Google Authenticator 2 因素身份验证 Google Authenticator 2 因素身份验证 安装 安装此扩展的首选方法是通过 。 要么跑 php composer.phar require --prefer-dist wayhood/googleauthenticator "*" 或添加 "wayhood/googleauthenticator": "*" 到composer.json文件的 require 部分。 用法 安装扩展后,只需通过以下方式在代码中使用它: use wh/googleauthenticator/ GoogleAuthenticator '; $ga = new GoogleAuthenticator(); $secret = $ga->createSecret(); echo "Secret is: ".$secret."\n
HTTPS单双向认证图解+自签泛域名证书生成及使用
11-27
HTTPS单双向认证原理图解,自签泛域名证书生成及使用,方便测试和研发使用。
centos7配置Google身份认证登录
xjm2001的博客
01-22 733
(会生成一个二维码,使用一开始下载的app扫描,绑定用户获取动态码)
AI问答:Google Authenticator(谷歌动态口令) / 设置及操作过程记录
最新发布
snow的博客
11-04 4579
Google Authenticator,即谷歌身份验证器,是谷歌推出的一款基于时间的一次性密码(Time-based One-time Password,简称TOTP)验证工具。以下是关于Google Authenticator验证的详细解释。
【深度探索】为Nginx赋能:一探nginx-google-oauth的强大身份验证系统
gitblog_00058的博客
06-15 972
【深度探索】为Nginx赋能:一探nginx-google-oauth的强大身份验证系统 去发现同类优质开源项目:https://gitcode.com/ 在日益增长的网络安全性需求中,确保应用访问的安全性成为了开发者的首要任务之一。今天,我们将一起深入探讨一款功能强大的开源工具——nginx-google-oauth。这款由Aaron Westendorf创作的杰出模块,为Nginx服务器带来了...
Nginx Google OAuth 开源项目教程
gitblog_00284的博客
08-23 292
Nginx Google OAuth 开源项目教程 nginx-google-oauthLua module to add Google OAuth to nginx项目地址:https://gitcode.com/gh_mirrors/ng/nginx-google-oauth 项目介绍 Nginx Google OAuth 是一个开源项目,旨在为 Nginx 服务器添加 Google OAu...
【SpringBoot】61、SpringBoot中使用谷歌身份验证器(Google Authenticator)实现二步身份验证
热门推荐
Asurplus
04-21 21万+
Google身份验证器Google Authenticator谷歌推出的基于时间的一次性密码(Time-based One-time Password,简称TOTP),只需要在手机上安装该APP,就可以生成一个随着时间变化的一次性密码,用于帐户验证。 Google身份验证器是一款基于时间与哈希的一次性密码算法的两步验证软件令牌,此软件用于Google认证服务。此项服务所使用的算法已列于RFC 6238和RFC 4226中。 1、安装谷歌身份验证器 苹果用户 在App Store搜索google au
golang google authenticator
weixin_33958585的博客
05-13 2069
2019独角兽企业重金招聘Python工程师标准>>> ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值