SSH 登录添加 Google Authenticator 两步验证 双因子认证

已于 2023-04-27 11:14:40 修改
阅读量8.3k 收藏 7
点赞数 1
分类专栏: Linux 文章标签: google auth ssh 两步认证 安全认证 双因子认证
于 2022-03-30 13:58:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/richdevos/article/details/123844366
版权

SSH 登录添加 Google Authenticator 两步验证 双因子认证

安装 Google Authenticator

# 时间与客户端进行校验,确保服务器时间与手机时间一致,避免时差导致严重失败问题
$ ntpdate pool.ntp.org

# Ubuntu
sudo apt install libpam-google-authenticator -y

# CentOS
yum install -y epel-release
yum install -y google-authenticator

修改相关 sshd 文件配置

sudo vim /etc/pam.d/sshd 
# @include common-auth  # 禁用密码身份验证,在这之前需要配置好 ssh 免密登录

# 在末尾添加如下内容
# Google Authenticator
auth required pam_google_authenticator.so

sudo vim /etc/ssh/sshd_config
Port 8398 # 修改 ssh 端口号
ChallengeResponseAuthentication yes # 默认是 no 改为 yes
PubkeyAuthentication yes # 取消掉注释
PasswordAuthentication no # 取消掉注释,并改为 no
# 文件末尾添加
AuthenticationMethods publickey,keyboard-interactive # 身份验证方式

# 重启 ssh 服务
sudo systemctl restart ssh.service

验证码默认生成方案,全选 y

google-authenticator

通过 Google Authenticator App 扫描生成的二维码或输入生成的秘钥来添加验证权限。

自定义验证码生成方案:

想为哪个用户配置双因子认证,就切换到这个账号下操作。

# 如我的用户名是 hiwb 就 su 用户名 切换过去
su hiwb 
# 生成验证码
# -t: 使用 TOTP 验证
# -f: 将配置保存到 ~/.google_authenticator 文件里面
# -d: 不允许重复使用以前使用的令牌
# -w 3: 使用令牌进行身份验证以进行时钟偏移
# -e 5: 生成 5 个紧急备用代码
# -r 3 -R 30: 限速 - 每 30 秒允许 3 次登录
google-authenticator -t -f -d -w 3 -e 5 -r 3 -R 30
# 上方命令回车后显示信息
Do you want authentication tokens to be time-based (y/n) y
Warning: pasting the following URL into your browser exposes the OTP secret to Google:
  https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/root@DLSJ-SERVER%3Fsecret%3D3HCXG6DXXCLC6ER4XF5WNEJMBM%26issuer%3DDLSJ-SERVER

# 这里显示二维码图片

Your new secret key is: 3HCXG6DXXCLC6ER4XF5WNEJMBM
Your verification code is 146688
Your emergency scratch codes are:
  80036582
  98200866
  41888657
  32910480
  27947702

sudo 操作开启二次验证

$ sudo vim /etc/pam.d/common-auth
auth required pam_google_authenticator.so

# 重启SSH服务
sudo systemctl restart ssh.service

使用 Fail2ban 去屏蔽多次尝试密码的 IP

# 安装 fail2ban 软件
sudo apt install -y fail2ban

# 修改配置文件
$ vim /etc/fail2ban/jail.local
[DEFAULT]
ignoreip = 127.0.0.1/8
bantime  = 86400
findtime = 600
maxretry = 5
banaction = firewallcmd-ipset
action = %(action_mwl)s

[sshd]
enabled = true
filter  = sshd
port    = 8398 # 与 /etc/ssh/sshd_config 中 Port 保持一致
action = %(action_mwl)s
logpath = /var/log/secure

# 重启服务
systemctl restart fail2ban
hiwb
关注
专栏目录
CentOS7下SSH登陆使用Google Authenticator两步验证
 RBPi' Blog
07-22 3490
实验环境:CentOS-7-x86_64-Minimal-1804 必须要关闭SELINUX 临时关闭SELinux,重启后失效: setenforce 0 永久关闭,需要reboot重启后生效: vim /etc/selinux/config SELINUX=disabled github下载 Google Authenticator:https://github.com/go...
Linux下ssh服务端配置详细记录
别叫我龙哥的博客
03-16 888
原文地址 Linux下ssh服务端配置详细记录-别叫我龙哥 linux sshd公钥及验证配置方法 打开配置文件 通常,linux发行版的sshd配置文件路径为/etc/ssh/sshd_config,使用你喜欢的编辑器打开,非root账户加上sudo,否则权限不够,无法保存! 例如: sudo vim /etc/ssh/sshd_config 更改端口 更改端...
登陆因子认证介绍及实现
清茶的博客
07-19 564
登录因子认证介绍,TOTP动态口令java实现
配置 SSH 因素认证
XMWS-IT
05-30 1012
​​​​​​运维工程师必备的认证【红帽liunx-RHCE 8】_XMWS_IT的博客-CSDN博客_运维工程师考什么证书RHCE试听课程:linux系统下,用这个命令可以提高60%的工作效率https://mp.weixin.qq.com/s/pZVjMI1PLJzrA8hoPzkgMA红帽RHCE试听课程:如何快速实现对服务器密码爆破?https://mp.weixin.qq.com/s/JUpf8G86jvnNwvKLUfWcLQ红帽RHCE 8.0课程介绍一、目标学员为之前没有 Linux® 系..
Linux安全加固之:SSH开启因子认证--基于TOTP方式
weixin_43441262的博客
05-21 877
2:在移动端点击右上角加号,扫一扫扫码。扫码完成后出现一个新的“令牌”。3:此时会接着出来一些其它配置。一般来说无脑 y 就可以。可以看到,我们除了输入密码外,还要输入一次性验证码。
使用OATH Toolkit实现ssh登录时进行TOTP因子认证
MengMengDeXiaoJi的博客
05-12 1307
因子认证(英语:Two-factor authentication,缩写为2FA),又译为验证因子验证因素验证、二元认证,是多重要素验证中的一个特例,使用两种不同的元素,合并在一起,来确认用户的身份。传统的单一密码认证(即知识要素,如用户名和密码)容易受到攻击,因此,为了增强安全性,因子认证引入了至少还需要第二种形式的认证。:用户知道的东西,例如密码、PIN码。:用户拥有的东西,如安全令牌、智能卡、手机(通过短信或认证应用生成的一次性代码)。
SSH + Google Authenticator 安全加固
weixin_30721077的博客
02-17 105
1. SSH连接 Secure Shell(安全外壳协议,简称SSH)是一种加密的网络传输协议,可在不安全的网络中为网络服务提供安全的传输环境。SSH通过在网络中创建安全隧道来实现SSH客户端与服务器之间的连接。虽然任何网络服务都可以通过SSH实现安全传输,SSH最常见的用途是远程登录系统,人们通常利用SSH来传输命令行界面和远程执行命令。使用频率最高的场合类Unix系统,但是Wind...
gitlab开启2FA因子认证登录.Google的身份验证器软件google authenticator
04-28
gitlab开启二次验证后,需要安装如下任意一款软件,生成验证码,生成后,保存好恢复代码,预防卸载软件或更换手机后的繁琐... 1、FreeOTP 2、Google身份验证器 压缩包中存有两个身份验证器,可以任意选择使用
gitlab启动了因子认证后,登录网站+下载代码操作指南
04-28
因子认证要求用户提供两种形式的身份验证,通常包括某种物理设备(如手机)上的动态验证码和常规的密码。 当GitLab管理员启用了因子认证,用户在登录时需要遵循以下步骤: 1. **设置因子认证**: - 在登录...
Linux、CentOs SSH 登录集成 Google Authenticator (MFA、2FA)
mfshi的博客
09-12 1138
在本节中,展示如何安装实现谷歌因素协议的可插拔验证模块(PAM)。使用这个模块,用户必须输入一个2FA令牌才能登录。当用户的密码或SSH密钥被盗时,这额外的保护可以帮助提高安全性。这个模块将工作在任何利用SSH的Linux操作系统上。虽然我只在运行Raspbian操作系统的Raspberry Pi上测试了本教程,但它应该可以在任何操作系统上工作。测试登录,(保持上面的登录session不要断开,重新打开一个session,以防配置有问题时,无法登录设备)
c#使用谷歌身份验证GoogleAuthenticator
01-08
谷歌身份验证器(Google Authenticator)是一种两步验证(2-Step Verification)工具,它为用户账户提供了额外的安全层。在传统的用户名和密码验证之外,谷歌身份验证器生成一次性密码(OTP),这个密码每隔一段时间...
基于Google 验证器 实现内网的因素认证项目
12-29
最近的一个项目需要实现因素强认证,平常我们都是采用 静态密码+动态短信这样的方式来实现,但用户侧并没有相应的短信接口。 后来决定采用 google身份验证器来实现。在网上找了一些资料和代码片段,经过梳理和改造,目前已上线使用了,效果还是比较好的,记录一下,也给需要的朋友做个参考。 项目中只有基本的流程,但可以跑通,只需要结合自身的业务,稍加修改即可使用。 用户名和密码随便输,向导式的引导用户进行初始配置。
Linux ssh 因子登录验证: Google Authenticator
eyeofeagle的博客
03-10 2373
1, yum原安装 yum install epel-release yum install pam-devel qrencode-libs google-authenticator sed -i '2iauth required pam_google_authenticator.so ' /etc/pam.d/sshd sed -i 's/^ChallengeResponseAuthentication.*/ChallengeResponseAuthentication yes/'
因子认证(Two-factor authentication)
仔哥学编程
12-24 5089
简言之,因素身份验证(也称为“两步验证”)是指身份验证涉及两个阶段——通常是除了常规密码)之外的某种一次性密码(OTP:One-Time Password)。网上银行已经使用这种方法很长一段时间了,最近这种方法也在全网流行起来。还有其他可用的方法,但基于时间的一次性密码(TOTP)非常常用。有几个移动应用程序支持该标准,Google Authenticator就是其中之一(Android、iOS)下图就是一个使用场景。
基于 SSH 因素认证
GitChat
02-16 431
Linux 系统的远程管理服务 SSHSSH 被暴力破解是很麻烦的事情。作为 SSH安全验证:包括密码认证,密钥认证。还有一种比较安全认证方式,手机验证码加密码认证。 以下介绍基于手机验证码的因素认证,提升 SSH 服务的安全性。只有输入正确的密码和手机验证码才能 SSH 登录。 配置中文源,提高下载速度 配置时间同步 软件包的安装 安装 Google 的开源软件包 修改配置文件 二...
手把手教你给 SSH 启用二次身份验证
qq_30192655的博客
12-29 1935
目前来说,二次验证是比较常用的安全手段,通过设置二次验证,就可以有效的避免账户密码的泄露导致的安全问题。因为,每次登陆前都需要获取一次性验证码,如果没有验证码的话就无法成功登陆。 1、安装 PAM 模块 #时间与客户端进行校验 $ ntpdate pool.ntp.org Ubuntu $ sudo apt install -y libpam-google-authenticator CentOS7 $ yum install -y epel-release $ yum install -y google-
快速接入Google因素认证Google Authenticator
weixin_42144712的博客
08-01 553
下载手机端App:谷歌的Google Authenticator或者微软的Microsoft Authenticator
SSH通过“运维密码”小程序实现 SSH 因子认证
change_can的博客
12-11 1077
一、什么是因子认证 GitHub:https://github.com/LCTT/WeApp-Password 因子认证(即 2FA),是一种通过组合两种不同的验证方式进行用户身份验证的机制。 在这种多重认证的系统中,用户需要通过两种不同的认证程序: (1)提供他们知道的信息(如用户名/密码) (2)再借助其他工具提供用户所不知道的信息(如用手机生成的一次性密码) 二、目的 实现登录Linux...
ssh+Google认证
weixin_34326179的博客
10-21 142
记录 SSH + Google-Authenticator 实现过程环境Centos 6.5需要用到epel源,用网易和搜狐的源都没有找到安装包,单独下载需要×××在服务器上安装Google-Authenticator首先安装启用ntp 服务器,同步服务器时间,设置时间同步安装Google-authenticator,安装完成后,会在/lib64/security新增pa...
ssh 设置密码和google authenticator认证,特定组只需要密码验证
最新发布
09-21
SSH (Secure Shell) 提供了一种安全的方式来远程登录到服务器。通常,SSH 默认使用私钥进行身份验证,但也可以设置密码。如果你想启用Google Authenticator作为因素认证,可以采取以下步骤: 1. **安装Google Authenticator**:首先在本地设备上安装Google Authenticator应用,如适用于Android或iOS的应用程序。 2. **生成SSH密钥对**:确保已经设置了SSH密码,然后通过SSH客户端生成一个新的公钥和私钥对,例如在Linux终端里运行 `ssh-keygen -t rsa`。 3. **配置Google Authenticator**:将SSH公钥添加Google Authenticator,这通常是通过提供一个特殊的URL完成,这个URL会自动填充到应用内让你扫描或手动输入。 4. **修改SSH配置**:编辑SSH服务的配置文件(如Linux的 `/etc/ssh/sshd_config`),找到 `ChallengeResponseAuthentication` 和 `PubkeyAuthentication` 配置行,确保它们都开启并且 `PasswordAuthentication` 只允许密码验证添加类似这样的配置: ``` ChallengeResponseAuthentication yes PubkeyAuthentication no PasswordAuthentication yes ``` 5. **重启SSH服务**:保存更改并重启SSH服务,让新的配置生效。 6. **组权限**:对于特定用户组,你可能需要单独管理他们的认证方式。你可以创建一个用户组,并在该组下只分配密码验证权限,而不强制使用Google Authenticator。 7. **限制访问**:最后,通过`AllowUsers`或`DenyUsers`指令限制哪些用户可以使用上述配置,比如仅对指定组的成员开放。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hiwb

您的鼓励是我创作最大的动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值