一、簡介
谷歌驗(yàn)證(Google Authenticator)通過兩個(gè)驗(yàn)證步驟,在登錄時(shí)為用戶的谷歌帳號提供一層額外的安全保護(hù)。使用谷歌驗(yàn)證可以直接在用戶的設(shè)備上生成動(dòng)態(tài)密碼,無需網(wǎng)絡(luò)連接。特點(diǎn):自動(dòng)生成QR碼泰偿;支持多帳戶;支持通過time-based和counter-based生成蜈垮。
二耗跛、安裝
在CentOS上安裝Google身份驗(yàn)證器服務(wù)器端組件(需先啟用EPEL軟件庫):
yum install google-authenticator
在 Ubuntu 上安裝Google身份驗(yàn)證器服務(wù)器端組件:
sudo apt-get install libpam-google-authenticator
在 Fedora 上安裝Google身份驗(yàn)證器服務(wù)器端組件:
dnf install google-authenticator
編譯安裝:
從 GitHub 下載源代碼手動(dòng)編譯裕照,具體編譯方法請參照 GitHub 上的說明。
項(xiàng)目地址:https://github.com/google/google-authenticator-libpam
git clone https://github.com/google/google-authenticator.git
cd google-authenticator/libpam/
./bootstrap.sh
./configure
make && make install
cp .libs/pam_google_authenticator.so /lib64/security/
三调塌、配置
添加谷歌身份驗(yàn)證器PAM模塊
在/etc/pam.d/sshd文件最后添加谷歌身份驗(yàn)證器PAM模塊配置:
auth required pam_google_authenticator.so
或使用如下命令在/etc/pam.d/sshd文件添加認(rèn)證模塊:
echo "auth required pam_google_authenticator.so" >>/etc/pam.d/sshd配置挑戰(zhàn)式密碼認(rèn)證
在/etc/ssh/sshd_config文件中添加以下行晋南,如果已配置則將參數(shù)更改為“yes”:
ChallengeResponseAuthentication yes
或使用命令更改:
sed -i 's/ChallengeResponseAuthentication no/ChallengeResponseAuthentication yes/g' /etc/ssh/sshd_config-
重啟sshd服務(wù)
#CentOS7 systemctl restart sshd.service #CentOS6 service sshd restart
三、使用兩步驗(yàn)證登陸
新開一個(gè)會(huì)話測試SSH登陸:
服務(wù)器會(huì)提示首先輸入服務(wù)器的密碼羔砾,接著會(huì)讓輸入Google驗(yàn)證器生成的密鑰负间,當(dāng)兩者都正確時(shí)才能成功登錄服務(wù)器。
注意事項(xiàng):
1.驗(yàn)證器時(shí)間必須和服務(wù)器時(shí)間同步姜凄。
2.如果你是遠(yuǎn)程登錄到服務(wù)器上配置政溃,切勿退出當(dāng)前的SSH 會(huì)話,而應(yīng)該另外開一個(gè)會(huì)話去測試SSH登錄态秧,重啟不會(huì)中斷當(dāng)前的 SSH 會(huì)話玩祟。
