如何使用googleauthenticator的雙因素身份驗證來保護ssh
想用易於使用的雙因素身份驗證來保護SSH伺服器嗎?Google提供了必要的軟體來將googleauthenticator的基於時間的一次性密碼(TOTP)系統與SSH伺服器整合。當你連線時,你必須從**輸入密碼。
googleauthenticator不會給Google“打電話回家”——所有的工作都發生在SSH伺服器和**上。事實上,googleauthenticator是完全開源的,所以您甚至可以自己檢查它的原始碼。
安裝google驗證器
為了用googleauthenticator實現多因素身份驗證,我們需要開源的googleauthenticatorpam模組。PAM代表“可**的身份驗證模組”——它是一種將不同形式的身份驗證輕鬆**Linux系統的方法。
Ubuntu的軟體庫包含一個易於安裝的googleauthenticatorpam模組包。如果您的Linux發行版不包含這個軟體包,那麼您必須從Google程式碼上的googleauthenticator下載頁面下載它並自己編譯。
要在Ubuntu上安裝軟體包,請執行以下命令:
sudo apt-get install libpam-google-authenticator
(這隻會在我們的系統上安裝PAM模組–我們必須手動啟用它以進行SSH登入。)
建立身份驗證金鑰
以遠端登入的使用者身份登入,並執行googleauthenticator命令為該使用者建立金鑰。
允許命令透過鍵入y來更新您的Google Authenticator檔案。然後將提示您幾個問題,這些問題將允許您限制使用同一臨時安全令牌,增加令牌可用於的時間視窗,並限制阻止暴力破解嘗試的允許訪問嘗試。這些選擇都用一些安全性換取一些易用性。
googleauthenticator會給你一個金鑰和幾個“緊急刮擦碼”。把緊急刮擦碼寫在安全的地方——每個密碼只能使用一次,如果你丟了**就可以使用。
在**上的Google Authenticator應用程式中輸入金鑰(Android、iOS和Blackberry都有官方應用程式)。您還可以使用掃描條形碼功能–轉到位於命令輸出頂部附近的URL,您可以使用**攝像頭掃描二維碼。
現在你的**上會有一個不斷變化的驗證碼。
如果要作為多個使用者遠端登入,請為每個使用者執行此命令。每個使用者都有自己的金鑰和密碼。
啟用google驗證器
接下來,您將需要googleauthenticator來進行SSH登入。為此,請在系統上開啟/etc/pam.d/sshd檔案(例如,使用sudo nano/etc/pam.d/sshd命令),並向檔案中新增以下行:
auth required pam_google_authenticator.so
接下來,開啟/etc/ssh/sshd_config檔案,找到ChallengeResp***eAuthentication行,並將其更改為如下所示:
ChallengeResp***eAuthentication yes
(如果ChallengeResp***eAuthentication行不存在,請將上面的行新增到檔案中。)
最後,重新啟動SSH伺服器,以便更改生效:
sudo service ssh restart
每當您嘗試透過SSH登入時,系統都會提示您輸入密碼和Google驗證器程式碼。
- 發表於 2021-04-12 07:05
- 閱讀 ( 29 )
- 分類:網際網路
你可能感興趣的文章
現在可以在reddit上啟用2fa
...驗證碼。這適用於桌面、移動和第三方應用程式,但需要googleauthenticator、Authy或其他支援TOTP的Authenticator應用程式。 ...
twitter現在支援雙因素身份驗證
...現在,Twitter支援使用方便的第三方身份驗證程式,比如googleauthenticator或Authy。 ...
instagram使用者:您需要立即啟用此安全設定
...來保護您的線上帳戶免受潛在的駭客。直到最近,Instagram使用者才可以使用它,但最近的一次更新[斷開的URL刪除]最終意味著你可以為Instagram帳戶新增額外的安全層。 ...
如何在raspberry pi上設定雙因素身份驗證
...重新啟動SSH守護程式: sudo systemctl restart ssh 您需要安裝googleauthenticator,它是一個可**的身份驗證模組(PAM)庫。應用程式(SSH)將呼叫Linux PAM介面,該介面將找到相應的PAM模組來為所請求的身份驗證型別提供服務。 鍵入以下內...
如何保護您的discord帳戶
...cord中建立雙因素認證 Discord的雙因素身份驗證(2FA)使用googleauthenticator或Authy在每次登入時向您的智慧**傳送一個臨時程式碼。Discord將不允許您訪問您的帳戶,直到您輸入此程式碼,從而確認您的身份。 要在Discord中設定2FA,請...
簡訊雙因素認證不是完美的,但你仍然應該使用它
...擊之後,人們開始批評基於簡訊的雙因素身份驗證,但是使用基於簡訊的雙因素身份驗證仍然比根本不使用雙因素身份驗證要好得多。 超過90%的gmail使用者沒有使用雙因素身份驗證 安全專業人士誰談到簡訊驗證不夠好,是太...
facebook升級了雙因素認證:以下是如何設定
...帶有密碼的簡訊,確保它真的是你。您還可以使用Authy或googleauthenticator等特殊應用程式,在登入時在**上輸入特殊程式碼。不幸的是,簡訊雙因素是不太安全的非簡訊類,但任何兩個因素都比沒有好。 在你的Facebook帳戶上設定更...
firefox最終提供了雙因素身份驗證來保護您的密碼
...素身份驗證應用程式才能工作。我們推薦Authy,但也支援googleauthenticator和duomobile。不支援基於SMS的雙因素身份驗證,但是出於各種原因,您不應該使用SMS進行雙因素身份驗證。 我們不能誇大這一點:如果你同步密碼使用火狐同...
如何避免在使用雙因素身份驗證時被鎖定
...式碼) 說到雙因素認證,我們更喜歡Authy應用程式而不是googleauthenticator或SMS。Authy允許您在裝置之間同步雙因素令牌。當你有一部新**時,你可以很容易地把你的資料轉移到它上面。或者,你可以在**和平板電腦之間共享資料。Au...
為什麼不應該使用sms進行雙因素身份驗證(以及使用什麼替代)
...**公司將無法讓其他人訪問你的密碼。最流行的選擇是像googleauthenticator這樣的應用程式。但是,我們推薦Authy,因為它可以完成googleauthenticator所做的一切。 這樣的應用程式在您的裝置上生成程式碼。即使攻擊者欺騙你的**公司將...
