python ssh登录网络设备_Linux下使用pam_python实现SSH的双因子认证登录

最新推荐文章于 2024-01-31 22:20:31 发布
最新推荐文章于 2024-01-31 22:20:31 发布
阅读量568 收藏
点赞数
文章标签: python ssh登录网络设备
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32297123/article/details/111919509
版权

Linux下使用pam_python实现SSH的双因子认证登录.md

关键字

Linux PAM Python SSH 2 Two Multi Factor Authentication Login 双因子 多因子 密保 TOKEN 一次性口令 PASSPOD OTP yubikey 认证 安全 登录

引言

Linux系统管理员(System Administrator,SA)经常碰到的问题就是放在公网的服务器经常被人猜测密码,每天都可以从系统日志里看到探测密码的信息,再加上最近很多厂商泄露了包含用户密码的数据库,撞库的行为也逐步开始转移到SSH上。

最初SA的防御手段一般是限制IP地址、修改SSH端口、部署失败一定次数就锁定或者封IP的程序或者脚本,更有极客想出了敲门3次端口才开放的办法,可谓无所不用其极。但是这些办法很多都不是很方便,改了端口,连接时需要指定端口;限制了IP地址,发现在家上网就登录不了了,封锁脚本可能把自己也锁定了。

在大公司里一般是采用的“RSA SecurID”方案,或者类似的技术。我们称其为双因子认证或者多因子认证(Two Factor Authentication;MFA,Multi Factor Authentication),在输入密码的同时需要输入一个一次性口令(OTP,One Time Password)。这种方案也有软件实现和硬件实现,软件例如google authenticator、Symantec Validation and ID Protection (VIP) ;硬件例如 RSA SecurID、飞天诚信的密保产品。

使用RSA SecurID的方案看起来虽然很好,但是他需要独立部署RSA Server,需要占用一台服务器,并且Server端软件是收费的,RSA SecurID密保也是收费的。

有没有免费的办法?

有啊,今天就来介绍一个。

实现方法

最简单的实现的方式,用户登录时需要输入用户名+PIN+密码方式才能登录。

这里的PIN是一个字符串,例如”ipcpu.com”,固定死的,不会变。

[root@IPCPU-0security]#ssh root@192.168.110.11

EnterYourPIN:

Password:

Lastlogin:MonMar2100:44:262016from192.168.110.11

[root@IPCPU-11~]#

安装pam_python模块

pam_python (注意不是python_pam)是一款开源的软件,将需要使用C语言编写的PAM模块转换成了可以使用python语言来写,顿时感觉方便多了。

安装方法比较简单

##@@安装编译依赖

yum install pam pam-devel-y

##@@解压进入src目录

make lib

##@@拷贝.so文件到/lib64/security/

cp build/lib.linux-x86_64-2.6/pam_python.so/lib64/security/

编写Python程序实现认证流程

我们进入到 /lib64/security/ 编写一个auth.py文件,内容如下

#!/usr/bin/env python

# -*- coding=utf-8 -*-

"""

#这个函数是本次的重点内容哦,判断用户输入的PIN是否为ipcpu.com

"""

defpam_sm_authenticate(pamh,flags,argv):

forattemptinrange(0,3):

msg=pamh.Message(pamh.PAM_PROMPT_ECHO_OFF,"Enter Your PIN: ")

resp=pamh.conversation(msg)

ifresp.resp=="ipcpu.com":

returnpamh.PAM_SUCCESS

else:

continue

returnpamh.PAM_AUTH_ERR

"""

#以下都是默认函数

"""

defpam_sm_setcred(pamh,flags,argv):

returnpamh.PAM_SUCCESS

defpam_sm_acct_mgmt(pamh,flags,argv):

returnpamh.PAM_SUCCESS

defpam_sm_open_session(pamh,flags,argv):

returnpamh.PAM_SUCCESS

defpam_sm_close_session(pamh,flags,argv):

returnpamh.PAM_SUCCESS

defpam_sm_chauthtok(pamh,flags,argv):

returnpamh.PAM_SUCCESS

配置SSHD,开启PAM模块

修改/etc/pam.d/sshd,新增一行,如下

#%PAM-1.0

auth requisite pam_python.so auth.py

auth required pam_sepermit.so

auth include password-auth

修改/etc/ssh/sshd_config,打开ChallengeResponse

ChallengeResponseAuthenticationyes

重启SSHD服务,接下来就可以测试了。

如果出现错误,日志会写到/var/log/secure里面。

进阶-独立的PIN

使用固定的PIN优点太low了,接下来我们介绍进阶的办法,每个人用自己的PIN。

首先PIN需要有个地方存放起来,我们就直接使用/etc/passwd的comment字段来存储。

可以通过命令 usermod来修改。如下,

[root@IPCPU2factor-with-PIN]#usermod-c',,15801581158,'ipcpu

[root@IPCPU2factor-with-PIN]#cat/etc/passwd|grep ipcpu

ipcpu:x:501:501:,,15801581158,:/home/ipcpu:/bin/bash

[root@IPCPU2factor-with-PIN]#

python的代码也需要修改下,如下

importrandom,string,hashlib,requests

importpwd,syslog

defauth_log(msg):

syslog.syslog("IPCPU-PAM-AUTH: "+msg)

defget_user_number(user):

"""Extract user's phone number for pw entry"""

try:

comments=pwd.getpwnam(user).pw_gecos

exceptKeyError:# Bad user name

auth_log("No local user (%s) found."%user)

return-1

try:

returncomments.split(',')[2]# Return Office Phone

exceptIndexError:# Bad comment section format

auth_log("Invalid comment block for user %s. Phone number must be listed as Office Phone"%(user))

return-1

defpam_sm_authenticate(pamh,flags,argv):

try:

user=pamh.get_user()

user_number=get_user_number(user)

exceptpamh.exception,e:

returne.pam_result

ifuserisNoneoruser_number==-1:

msg=pamh.Message(pamh.PAM_ERROR_MSG,"Unable to send one time PIN.\nPlease contact your System Administrator")

pamh.conversation(msg)

returnpamh.PAM_AUTH_ERR

forattemptinrange(0,3):# 3 attempts to enter the one time PIN

msg=pamh.Message(pamh.PAM_PROMPT_ECHO_OFF,"Enter Your PIN: ")

resp=pamh.conversation(msg)

ifresp.resp==user_number:

auth_log("user: "+user+" login successful with PIN.")

returnpamh.PAM_SUCCESS

else:

auth_log("user: "+user+" login failed with PIN.")

continue

returnpamh.PAM_AUTH_ERR

defpam_sm_setcred(pamh,flags,argv):

returnpamh.PAM_SUCCESS

defpam_sm_acct_mgmt(pamh,flags,argv):

returnpamh.PAM_SUCCESS

defpam_sm_open_session(pamh,flags,argv):

returnpamh.PAM_SUCCESS

defpam_sm_close_session(pamh,flags,argv):

returnpamh.PAM_SUCCESS

defpam_sm_chauthtok(pamh,flags,argv):

returnpamh.PAM_SUCCESS

继续进阶-短信

上一步,我们使用了每个用户独立的PIN来进行双因子认证,如果我们把PIN换成自己的手机号,然后在登陆的时候先生成随机字符串,然后短信发送到用户的手机上,对比字符串是否一致,这样我们就实现了基于短信形式的双因子认证。

这部分代码就留给读者自行练习了。需要注意的是为了防止别人猜测密码时收到大量短信,这里最好连手机号也对比认证下。

参考资料

侍酒师小田
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pam-python:允许用 Python 编写 PAM 模块-开源
05-30
这个 PAM 模块运行 Python 解释器,因此允许用 Python 编写 PAM 模块。 由于 Python 会产生相当大的开销,因此它的目标受众是 SysAdmins 编写一个 PAM 模块。 所有可用的文档都可以在 http://pam-python.sourceforge.net/ 在线阅读
pam_python_crowd:如何配置 PAM 以通过 Atlassian Crowd 登录
06-18
pam_python_crowd 这是一种使用 Atlassian 的 Crowd 身份验证服务器登录 Linux 计算机的机制。 我只在 Ubuntu 13.10 上真正测试过它,尽管它应该适用于任何基于 PAM 的系统。 这是星期六黑客攻击的结果,几乎只是...
【freeradius3】安装和拓展需求
orangleliu 笔记本
02-05 5324
这次主要来看看 freeradius的安装,以及Python拓展的例子,还有计费字段根据厂家进行拓展。 3.0版本的安装参考文章 yum install libtalloc-develwget -c ftp://ftp.freeradius.org/pub/freeradius/freeradius-server-3.0.11.tar.gztar zxvf freeradius-server-3.0
使用Python脚本实现SSH登录设备
最新发布
衡水铁头哥的博客
01-31 976
正文共:1111 字 9 图,预估阅读时间:6 分钟如果没有自动化的管理工具,我们管理设备还要一台一台的去查看;有了自动化之后,理论上这个问题能得到极大改善。前面我们介绍了Python的安装(如何使用Python提取Excel中固定单元格的内容),以及如何通过Python读取EXCEL的数据(使用Python批量处理Excel的内容),那能不能使用Python实现设备的自动化管理呢?我们今天来试...
CentOS+FreeRadius认证实现
yiyu89的专栏
03-22 1529
准备工作搭建CentOS7,地址为:192.168.51.104 1.关闭防火墙 # 192.168.51.104 systemctl stop firewalld //关闭防火墙 systemctl disable firewalld //关闭防火墙自启 sed -i '/SELINUX/s/enforcing/disabled/' /etc/selinux/c
python客户端调用freeradius实现认证授权功能
wsq的博客
04-12 2621
一、ubuntu系统安装freeradius apt install freeradius 二、radius服务器配置信息 1、允许访问的radius客户端信息 cat /etc/freeradius/3.0/clients.conf # ipaddr是客户端ip地址 # secret是口令,客户端与服务器保持一致 client private { ipaddr = 127.0.0.1 secret = testing123 } client
FreeRadius Version3.0.7文件目录
ChinaSanDuo的专栏
04-24 1677
文件 目录 翻译中文   raddb mods - available MODS - 可用 * mods - config MODS - 配置 * mods - enabled MODS - 启用 * sites - available 网站 - 可用 *
pam_chroot.zip_linux pam _pam模块
09-14
linux下可插入验证模块更改用户权限和目录权限的代码,很有参考价值!
Linux-PAM-1.3.0.tar.gz_PAM_linux_pam 1.3.1
09-23
Linux-Pam-1.3.0.tar.gz is a package for installing PAM.
pam.tar.gz_linux pam _linux-pam
09-24
PAM的介绍资料,如何使用Linux下的加密机制等。
Linux-PAM-0.99.6.2.zip_WideCharToMultiByte_linux pam _pam 0.99_p
09-23
PAM(Pluggable Authentication Modules,可插拔认证模块 )是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给...
pam_python.so
07-30
pam_python是一个让linux ssh登陆实现因子认证的东东。通过修改auth.py,可以方便地加入自己希望的因子认证效果。 根据https://sourceforge.net/projects/pam-python/files/pam-python-1.0.6-1/编译好的pam_python.so二进制文件(仅在ubuntu16.04下测试过,其他系统未测试),不需要自己安装gcc编译了。
google authenticator python_Python项目整合PyOTP+Google Authenticator
weixin_39554021的博客
12-06 295
PyOTP主要是用來生成与验证一次性密码(OTP, One-Time Password)的Python库,下面是官方介绍PyOTP is a Python library for generating and verifying one-time passwords. It can be used to implement two-factor (2FA) or multi-factor (MFA...
FreeIPA FreeRadius FreeOTP 实现因素认证登录
chenjingwen的博客
12-17 6547
FreeIPA FreeRadius FreeOTP 实现VPN因素认证登录
出入freeRadius 之日志配置,认证配置,白名单配置
xinglinglove的博客
11-13 1560
Radius配置 radius.conf配置文件 radius.conf配置文件为主配置,可以引入其他一些模块信息,和配置信息,也可以配置一些日志和软件目录信息 1.1认证日志配置: log{ file = ${logdir}/radius.log auth = yes auth_badpass = yes...
Linux因素身份认证大全:ssh + console + 图形界面
全场景身份鉴别与统一管理提供商
06-10 566
对于咱们日常运维人员来讲,Linux应该是经常打交道的吧(如果不是,可能不是运维,是维修...开个玩笑),Linux在机房里面的地位就像Windows在办公空间里的地位牢不可破,各类软件的部署首选就是LinuxLinux运维常用的登录入口有3个:Ssh、console、图形界面(如果有)。为了更加安全的运维,通常会采用因素身份认证系统动态口令做登录加固,下面简单聊下针对这3个入口如何做因素身份认证加固?首先会部署一套因素身份认证系统,做账号和令牌的一一绑定、令牌激活等工作,通过管理令牌;然后在Lin
Linux: 通过pam_python实现ssh因子认证测试记录_七侠镇莫尛貝_20190730
七侠镇莫小贝的同福客栈
07-30 1162
参考资料:http://www.ipcpu.com/2016/04/linux-pam-python/ 测试环境:ubuntu16.04 srv 测试步骤: 1.从https://github.com/ipcpu/pam-python-ipcpu 下载pam_python源代码。 2.服务端安装gcc: 参考:https://blog.csdn.net/lucifa_li/articl...
linux ssh pam认证失败,linux使用ssh配置pam以进行因素身份验证
weixin_31542609的博客
05-12 1108
我正在尝试使用自定义radius服务器配置ssh以进行身份​​验证.所以我想要的是,首先它应该使用当前的ssh登录(unix登录)进行身份验证,然后提示用户输入radius的第二个密码.我正在设置/etc/pam.d/sshd如下auth required pam_unix.so debug**auth sufficient /lib/security/pam_...
在Ubuntu 20 上安装mariadb 并解决phpmyadmin等外部工具无法访问等问题
自律即自由
12-04 910
本文记录了实现数据库本地安装和实现同时以命令行和第三方工具访问目标的全过程。 安装数据库 sudo apt install mariadb-server -y 配置安全性 sudo mysql_secure_installation Enter current password for root (enter for none): 直接敲回车 Set root password? [Y/n]: Y New password: 输入你的密码 Re-enter new password: 重复你输入的密码
Linux 操作系统pam_tally2.so 启用SSH的合规登录失败处理方法
03-23
可以通过修改 /etc/pam.d/sshd 文件来启用 pam_tally2.so 模块,...这样就可以启用 pam_tally2.so 模块来处理 SSH登录失败了。当用户登录失败次数达到 3 次时,该用户将被锁定 300 秒,直到解锁后才能再次尝试登录

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值