说明:

1、一般ssh登录服务器,只需要输入账号和密码。

2、本教程的目的:在账号和密码之间再增加一个

验证码,只有输入正确的验证码之后,再输入

密码才能登录。这样就增强了ssh登录的安全性。

3、账号、验证码、密码三者缺一个都不能登录,即使账号和密码正确,验证码错误,同样登录失败。

4、验证码:是动态验证码,并且是通过手机客户端自动获取(默认每隔30秒失效一次)。

5、最终目的:远程ssh登录一台服务器,需要正确的账号、密码、及一个可以获取到动态验证码的手机

(目前支持Android和ios手机系统)。

具体操作:

操作系统:CentOS

一、关闭SELINUX

vi /etc/selinux/config

#SELINUX=enforcing #注释掉

#SELINUXTYPE=targeted #注释掉

SELINUX=disabled #增加

:wq! #保存退出

setenforce 0 #使配置立即生效

二、安装编辑工具包

1、使用CentOS默认yum源安装

yum install wget gcc make

yum install pam-devel libpng-devel

2、配置repoforge第三方yum源安装mercurial包

CentOS各个版本,请选择正确版本

CentOS 5.x

rpm -ivh http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1.el5.rf.i386.rpm

rpm -ivh http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1.el5.rf.x86_64.rpm

CentOS 6.x

rpm -ivh http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1.el6.rf.i686.rpm

rpm -ivh http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1.el6.rf.x86_64.rpm

yum install mercurial #安装

系统运维  www.osyunwei.com  温馨提醒:qihang01原创内容版权所有,转载请注明出处及原文链接

三、安装google authenticator PAM插件

cd /usr/local/src

wget https://google-authenticator.googlecode.com/files/libpam-google-authenticator-1.0-source.tar.bz2

注意:打开google需要×××,可以先想办法下载好libpam-google-authenticator-1.0-source.tar.bz2上传到/usr/local/src目录进行安装

tar jxvf libpam-google-authenticator-1.0-source.tar.bz2 #解压

cd libpam-google-authenticator-1.0 #进入目录

make #编译

make install #安装

四、安装QrenCode,此工具可以在Linux命令行下生成二维码

cd /usr/local/src

wget http://fukuchi.org/works/qrencode/qrencode-3.4.4.tar.gz #下载

tar zxf qrencode-3.4.4.tar.gz #解压

cd qrencode-3.4.4 #进入目录

./configure --prefix=/usr #配置

make #编译

make install #安装

五、配置ssh服务调用google authenticator PAM插件

vi /etc/pam.d/sshd #编辑,在第一行增加以下代码

auth required pam_google_authenticator.so

:wq! #保存退出

vi /etc/ssh/sshd_config #编辑

ChallengeResponseAuthentication yes #修改no为yes

:wq! #保存退出

service sshd restart #重启ssh服务,使配置生效

六、使用google authenticator PAM插件为ssh登录账号生成动态验证码

注意:哪个账号需要动态验证码,请切换到该账号下操作

google-authenticator #运行此命令

Do you want authentication tokens to be time-based (y/n) y #提示是否要基于时间生成令牌,选择y

https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/osyunwei@osyunwei%3Fsecret%3DAXNRWARYQPHI5EAJ

Your new secret key is: AXNRWARYQPHI5WYU

Your verification code is 199255

Your emergency scratch codes are:

21767982

60638828

24009000

44681673

28015662

#上面的网址为生成的二维码图形地址(需要×××才能打开),还会生成密钥,以及5个紧急验证码(当无法获取动态验证码时使用,注意:这5个验证码用一个就会少一个!请保存好!)

Do you want me to update your "/home/jss/.google_authenticator" file (y/n) y #提示是否要更新验证文件,选择y

Do you want to disallow multiple uses of the same authentication

token? This restricts you to one login about every 30s, but it increases

your chances to notice or even prevent man-in-the-middle attacks (y/n) y #禁止使用相同口令

By default, tokens are good for 30 seconds and in order to compensate for

possible time-skew between the client and the server, we allow an extra

token before and after the current time. If you experience problems with poor

time synchronization, you can increase the window from its default

size of 1:30min to about 4min. Do you want to do so (y/n) n

#默认动态验证码在30秒内有效,由于客户端和服务器可能会存在时间差,可将时间增加到最长4分钟,是否要这么做:这里选择是n,继续默认30秒

If the computer that you are logging into isn't hardened against brute-force

login attempts, you can enable rate-limiting for the authentication module.

By default, this limits attackers to no more than 3 login attempts every 30s.

Do you want to enable rate-limiting (y/n) y

#是否限制尝试次数,每30秒只能尝试最多3次,这里选择y进行限制

七、手机安装Google身份验证器,通过此工具扫描上一步生成的二维码图形,获取动态验证码

Android手机下载:

https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2

iOS手机下载:

https://itunes.apple.com/us/app/google-authenticator/id388497605

注意:打开google需要×××,或者自己想办法下载Google身份验证器安装。

另外,还需要安装条形码扫描器,用来扫描验证二维码,以获取动态验证码

以Android手机为例:

安装好Google身份验证器,打开如下图所示:

系统运维  www.osyunwei.com  温馨提醒:qihang01原创内容版权所有,转载请注明出处及原文链接

开始设置-扫描条形码,然后扫描第六步中生成的二维码图形

扫描完成后,如下图所示:

八、ssh远程登录服务器

输入账号之后,会提示输入验证码

login as: root

Using keyboard-interactive authentication.

Verification code:

打开手机上的Google身份验证器,输入动态验证码,回车。

注意:动态验证码没有回显,所以在屏幕上看不到输入的内容,但只要保证输入正确即可!

Using keyboard-interactive authentication.

Password:

接着输入密码,即可成功登录系统!

注意:以此步骤必须在30秒内完成。否则动态验证码过期,必须重新操作。

至此,Linux下使用Google Authenticator配置SSH登录动态验证码教程完成!

转载于:https://blog.51cto.com/6226001001/1681721

Linux下使用Google Authenticator配置SSH登录动态验证码相关推荐

  1. 【Linux】使用Google Authenticator 实现ssh登录双因素认证

    一般来说,使用ssh远程登录服务器,只需要输入账号和密码,显然这种方式不是很安全.为了安全着想,可以使用GoogleAuthenticator(谷歌身份验证器),以便在账号和密码之间再增加一个验证码, ...

  2. .Net Core使用google authenticator打造用户登录动态口令

    1.google authenticator(谷歌身份验证器) 介绍 谷歌身份验证器,即Google Authenticator(Google身份验证器)v2.33 谷歌推出的一款动态口令工具,解决大 ...

  3. linux git ssh 配置文件,git bash配置ssh 登录 Linux的方法

    1.首先在 Linux 服务器上生成公钥和私钥文件,默认的存放目录在~/.ssh下. ssh-keygen 可以将密码留空,这样之后就可以免密码登录. 2.将私钥文件拷贝到本机. scp root@1 ...

  4. linux禁止ssh传输文件,如何在Linux下使用scp命令通过ssh安全传输文件

    原标题:如何在Linux下使用scp命令通过ssh安全传输文件 在Unix或Linux操作系统上,scp实用程序(secure copy)与更著名的命令cp类似,但用于在安全加密的网络上在主机之间传输 ...

  5. linux下gitolite-admin安装和配置

    linux下gitolite-admin安装和配置 1.安装git    [root@iZwz9c0doj0taonyrldlc3Z ~]# yum install git -y 2.创建git用户  ...

  6. linux下pptpd的安装配置(×××)

    linux下pptpd的安装配置(×××)--单网卡×××实现 (本文部分内容摘自互联网,特此声明!)          环境介绍:Linux(redhat) 2.6.18 +PPP+PPTPD    ...

  7. linux下DHCP的安装配置

    今天在整理以前的资料的时候,看到了这篇过去积攒的资料,过程详细所以拿来给大家一块分享,同时我也在做,提高一下熟练度. [实验名称]Linux下DHCP服务的配置与安装 [实验拓扑] [实验目标] 了解 ...

  8. linux下Java环境的配置

    linux下Java环境的配置 一. 下载jdk5.0 for linux 到sun的主页 [url]http://java.sun.com/j2se/1.5.0/download.jsp[/url] ...

  9. webmin升级php,Centos linux下webmin安装及配置

    Centos linux下webmin安装及配置 2012-1-30 18:14 Monday 分类:Linux 评论(49) 浏览(18247) webmin是一个用浏览器来管理系统的工具. 1.下 ...

最新文章

  1. 让textarea完全显示文章并且不滚动、不可拖拽、不可编辑
  2. maven的pom报plugins错误的解决方法.
  3. Customize a Scheduling Policy
  4. 安卓学习笔记---Activity
  5. 2、AD工程创建步骤
  6. PyCharm社区版支持深度学习_深度学习,大家都看哪些社区论坛?
  7. html52D转换3D,CSS3 Transform 2D和3D转换
  8. json_extract提取复杂json_Python中高效使用JSON的四个小窍门
  9. apue.3e环境配置
  10. vba正则表达式入门
  11. 穿越计算机的的迷雾--读书笔记一
  12. 用计算机求值根号12345,手算开根号
  13. 最新版本的mmdetection2.0 (v2.0.0版本)环境搭建、训练自己的数据集、测试以及常见错误集合
  14. vsftpd匿名登陆连接报错:500 OOPS: vsftpd: refusing to run with writable root inside chroot()(未解决)
  15. CnOpenData中国上市公司全部公告数据
  16. cass光标大小怎么调_CAD如何调整十字光标和靶框大小
  17. linux系统自动获取ip地址,Linux系统下设置静态IP或自动获取动态IP的简单方法
  18. 游泳馆管理系统有什么用?能解决什么问题?
  19. python pandas dropna 删除空值/缺失值(DataFrame)
  20. 思科交换机基础--7三层交换机实现不同vlan互通

热门文章

  1. 苹果汽车高管几乎流失殆尽,一年损失7人,新年又有人被Meta挖走
  2. 亚马逊员工流动率150%,每8个月相当于“大换血”,网友:贝佐斯不知足
  3. 马斯克豁出4300员工,参与新冠研究,论文登上Nature子刊
  4. QQ被曝自动读取浏览器记录,Chrome、Edge和360等无一幸免
  5. 不孕不育怎么办?AI帮你提高成功率
  6. 5000量子比特的商用计算平台发布!D-Wave:这是商业应用的唯一选择
  7. 陆奇疫情之下最新思考:数字化的历史潮流在加速,送给创新者8个字2个维度...
  8. PyCharm有些库(函数)没有代码提示
  9. HDU 6052 To my boyfriend(容斥+单调栈)
  10. python 字符串分割和拼接_python分割和拼接字符串