Linux安全加固之:SSH开启双因子认证--基于TOTP方式

已于 2024-05-21 13:53:39 修改
阅读量519 收藏 8
点赞数 7
分类专栏: linux 部署 运维部署 文章标签: linux 安全 ssh
于 2024-05-21 11:30:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43441262/article/details/139087218
版权
运维部署 同时被 3 个专栏收录
48 篇文章 5 订阅
订阅专栏
部署
34 篇文章 0 订阅
订阅专栏
linux
31 篇文章 0 订阅
订阅专栏

前言

  • 当下随着互联网技术的快速发展,网络安全问题愈加严重。在Linux系统中,SSH是一种广泛使用的远程登录工具,因此,保护SSH访问的安全性就变得尤为重要。
  • 在SSH中启用多因素身份验证是一种有效的方式来加强SSH访问的安全性。
  • 使用 google-authenticator-libpam 来为SSH启用多因素身份验证。它是基于TOTP算法的实现的一种工具。
  • TOTP算法(Time-based One-time Password algorithm)是一种从共享密钥和当前时间计算一次性密码的算法。
  • TOTP是基于散列的消息认证码(HMAC)的示例。 它使用加密哈希函数将密钥与当前时间戳组合在一起以生成一次性密码。 由于网络延迟和不同步时钟可能导致密码接收者必须尝试一系列可能的时间来进行身份验证,因此时间戳通常以30秒的间隔增加,从而减少了潜在的搜索空间。

服务器安装google-authenticator-libpam

ubuntu以及其它debian系:
sudo apt install libpam-google-authenticator

centOS系:
嘻嘻嘻,自己查一下吧,笔者已经将近4-5年没用过了。

移动端(手机)安装支持TOTP的认证软件

一般有如下几款:
腾讯身份认证器:
https://sj.qq.com/appdetail/com.tencent.authenticator
谷歌身份认证器:
https://baike.baidu.com/item/Google%20Authenticator/58350750
微软身份认证器:
https://www.microsoft.com/zh-cn/security/mobile-authenticator-app
FreeOTP:
https://github.com/freeotp

笔者用的是腾讯身份认证器,如图(隐蔽了一些敏感信息):

在这里插入图片描述

修改pam配置

运行命令:
vim /etc/pam.d/sshd
在文件最后加入:
auth    required     pam_google_authenticator.so

修改ssh配置

运行命令:
vim /etc/ssh/sshd_config
将 ChallengeResponseAuthentication 的值改为 yes, 如果没有则添加此配置。
ChallengeResponseAuthentication yes

重启ssh服务:
sudo systemctl restart sshd.service

在每个需要SSH多因子认证的用户下运行:google-authenticator 来生成密钥和其它配置信息。

1:运行命令:

google-authenticator

在这里插入图片描述2:在移动端点击右上角加号,扫一扫扫码。扫码完成后出现一个新的“令牌”。如图:
在这里插入图片描述
3:此时会接着出来一些其它配置。一般来说无脑 y 就可以。大致如下
在这里插入图片描述

完成配置,尝试登录:

可以看到,我们除了输入密码外,还要输入一次性验证码。如下:

在这里插入图片描述

you秀
关注
  • 7
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
image-to-totp:QR将QR图像转换为TOTP代码
03-06
图像转换 image-to-totp是使用单个API从QR码图像生成totp码的库。用法npm install @thomaschaplin/image-to-totp用法示例import { imageToTotp } from "@thomaschaplin/image-to-totp" ;import * as path from "path...
totp-manager:TOTP经理
05-09
TOTP经理 :memo: 目录 :face_with_monocle: 关于 该项目将帮助您使用密码生成基于时间的OTP。 它基于电子和React。 :chequered_flag: 入门 这些说明将为您提供在本地计算机上运行并运行的项目的副本,以进行开发...
使用OATH Toolkit实现ssh登录时进行TOTP因子认证
MengMengDeXiaoJi的博客
05-12 1023
因子认证(英语:Two-factor authentication,缩写为2FA),又译为双重验证、双因子验证、双因素验证、二元认证,是多重要素验证中的一个特例,使用两种不同的元素,合并在一起,来确认用户的身份。传统的单一密码认证(即知识要素,如用户名和密码)容易受到攻击,因此,为了增强安全性,双因子认证引入了至少还需要第二种形式的认证。:用户知道的东西,例如密码、PIN码。:用户拥有的东西,如安全令牌、智能卡、手机(通过短信或认证应用生成的一次性代码)。
Linux 小技巧:添加 SSH因子认证
Toasten
01-15 690
Linux 主机通过 ssh 方式连接,当存在弱密码的情况下,通过暴力破解的方式会很容易就被攻破了,本文将向你展示如何通过 Google Authenticator 这一强大的双因素认证工具,当你 SSH 登录主机输入用户密码后,还需要通过手机客户端输入 Google 动态验证码才能正常登录,通过真实案例教你配置。同步 linux 时钟,默认动态验证码在 30 秒内有效,由于客户端和服务器可能会存在时间差,建议先同步时钟,防止和手机时间存在时间差导致无法登录。添加成功后,此验证码会动态刷新。
SSH 登录添加 Google Authenticator 两步验证 双因子认证
All of my life is programming!
03-30 7906
SSH 登录添加 Google Authenticator 两步验证 双因子认证
提升Linux安全性:给主机添加ssh因子认证
m0_37680131的博客
12-07 227
在信息时代,服务器安全愈发成为首要任务。Linux主机通过ssh方式连接,当存在弱密码的情况下,通过暴力破解的方式会很容易就被攻破了,本文将向你展示如何通过Google Authenticator这一强大的双因素认证工具,当你ssh登录主机输入用户密码后,还需要通过手机客户端输入google动态验证码才能正常登录,通过真实案例教你配置。赶快转发给你的小伙伴用起来图片。
如何为SSH登录建立双因子验证机制(谷歌身份验证器)?
Linuxer's Blog Data
02-28 4164
前言 默认情况下,SSH已经在远程机器之间使用安全的数据通信;但是如果你想为自己的SSH连接添加另外某种安全层,可以添加谷歌身份验证器(Google Authenticator)双因子验证模块,该模块让你可以在连接到SSH服务器时,输入一个随机的一次性密码(TOTP)验证码。你在连接时,就得从智能手机或个人电脑输入这个验证码。 谷歌身份验证器是一种开源模块,实施了由谷歌开发的一次性通行码(
配置 SSH 双因素认证
XMWS-IT
05-30 973
​​​​​​运维工程师必备的认证【红帽liunx-RHCE 8】_XMWS_IT的博客-CSDN博客_运维工程师考什么证书RHCE试听课程:linux系统下,用这个命令可以提高60%的工作效率https://mp.weixin.qq.com/s/pZVjMI1PLJzrA8hoPzkgMA红帽RHCE试听课程:如何快速实现对服务器密码爆破?https://mp.weixin.qq.com/s/JUpf8G86jvnNwvKLUfWcLQ红帽RHCE 8.0课程介绍一、目标学员为之前没有 Linux® 系..
Centos SSH因子认证
******* ▄︻┻┳═一 *******
12-19 3330
一、简介 双因子认证 – Two-factor authenticator(即 2FA),是一种通过组合两种不同的验证方式进行用户验证的机制。 OpenSSH因子认证是信息安全等级保护中较为重要的安全检测项之一,要求远程登陆核心服务器时必须进行二次认证(指纹、虹膜、动态码等)。 配置免费开源的Google Authenticator动态码认证便是一个不错的双因子认证方案,轻松实现远程登陆核心服...
luaotp:为Lua编写的OATH-HOTP和OATH-TOTP的简单实现
04-29
OATH-HOTP和OATH-TOTP的简单实现。 它根据MIT许可证的条款分发。 描述 这是纯lua中的简单OATH-HOTP和OATH-TOTP实现,利用LuaCrypto满足其哈希需求。 它可用作生成和验证库,并且与RFC 4226和6238兼容。它仅支持SHA-...
php-totp:PHP的TOTP(https
05-09
PHP TOTP 该库是php中totp(rfc6238)的实现(目前仅sha1)特征PSR-4自动加载兼容结构用PHPUnit进行单元测试易于使用于任何框架,甚至是简单的...// Random$secret = Greymich\TOTP\TOTP::genSecret(32);// Initiate
MinaOTP-Shell:TOTP身份验证器工具作为终端工具
02-05
这个命令行工具将为您生成安全的动态2FA令牌,在终端中的add , remove , list , show和import将非常方便。 安装 pip install minaotp 用法 帮助信息 $ mina -h usage: mina [-h] {list,add,remove,show,import} ...
iOS-TOTP:TOTP 的简单单视图 iOS 实现
07-05
iOS TOTP 示例 (基于时间的一次性密码)是一种非常简单的两因素身份验证方法。 谷歌身份验证器使用它。 但是,原始 Google Authenticator iOS 客户端的项目非常臃肿,并且很可能在第一次运行时无法编译(至少对我...
nd-otp-webcrypto:简单的TOTP代码生成器
02-13
@ joph-auth / nd-otp-webcrypto @joph-auth/nd-otp-webcrypto是一个简单的,无依赖性的库,用于生成和验证HOTP和TOTP令牌。 该软件包使用 ,因此只能在可用window.crypto和window.crypto.subtle情况下使用。 为了与...
shared-2fa:与您的团队共享 TOTP 的密码管理器
05-29
该工具通过在 AWS SecureSystemManager 的参数存储中保存初始种子,帮助您与您的团队共享基于 TOTP 的虚拟 MFA 设备。 价钱 使用此工具可能不会为您产生任何 AWS 成本。 在 ParameterStore 中存储/获取参数是。 AWS...
SSH登录双因素认证--Google Authenticator
yasyal515的博客
01-23 1287
2018年第一篇 从安全角度着想,对ssh登录机器进行双因素认证,本文介绍方法 1、创建用户 useradd user1 useradd user2 groupadd openstack gpasswd -a user1 openstack gpasswd -a user2 openstack mkpasswd user1 mk
SSH登录建立双因子验证机制(谷歌身份验证器)
热门推荐
bwlab的博客
05-05 1万+
原文:https://support.google.com/accounts/answer/1066447?hl=en 译文:http://netsecurity.51cto.com/art/201305/392443.htm 文章我就不拷贝了,直接上个工具链接,因为有的直接下载不了 工具: 谷歌身份验证器 http://pan.baidu.com/s/1qYkpVGw libpam-g
基于 SSH 双因素认证
GitChat
02-16 409
Linux 系统的远程管理服务 SSHSSH 被暴力破解是很麻烦的事情。作为 SSH安全性验证:包括密码认证,密钥认证。还有一种比较安全认证方式,手机验证码加密码认证。 以下介绍基于手机验证码的双因素认证,提升 SSH 服务的安全性。只有输入正确的密码和手机验证码才能 SSH 登录。 配置中文源,提高下载速度 配置时间同步 软件包的安装 安装 Google 的开源软件包 修改配置文件 二...
SSH通过“运维密码”小程序实现 SSH因子认证
change_can的博客
12-11 1045
一、什么是双因子认证 GitHub:https://github.com/LCTT/WeApp-Password 双因子认证(即 2FA),是一种通过组合两种不同的验证方式进行用户身份验证的机制。 在这种多重认证的系统中,用户需要通过两种不同的认证程序: (1)提供他们知道的信息(如用户名/密码) (2)再借助其他工具提供用户所不知道的信息(如用手机生成的一次性密码) 二、目的 实现登录Linux...
TPM2-TOTP优缺点
最新发布
05-13
TPM2-TOTP是一种基于TPM 2.0芯片和时间同步验证码的身份认证技术,它的优点和缺点如下: 优点: 1. 安全性高:TPM2-TOTP技术采用了TPM 2.0芯片和时间同步验证码进行身份认证,这种方式可以有效避免常见的网络攻击方式,如中间人攻击、重放攻击等。 2. 方便性高:TPM2-TOTP技术不需要用户记忆复杂的密码,只需要在验证时输入一次6位数字即可。 3. 可靠性高:TPM2-TOTP技术基于硬件级别的安全芯片,能够有效抵御各种恶意攻击和病毒感染。 缺点: 1. 依赖硬件:TPM2-TOTP技术需要硬件支持,如果没有TPM 2.0芯片的设备无法使用。 2. 时间同步问题:TPM2-TOTP技术需要保证系统和服务器时间的同步性,如果时间不同步会导致验证失败。 3. 需要管理:TPM2-TOTP技术需要进行管理,包括密钥的生成、分配和更新等,需要专门的管理人员进行管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值