如何为Linux系统中的SSH添加双重认证

近来很多知名企业都出现了密码泄露,业内对多重认证的呼声也越来越高。在这种多重认证的系统中,用户需要通过两种不同的认证程序:提供他们知道的信息(如 用户名/密码),再借助其他工具提供用户所不知道的信息(如 用手机生成的一次性密码)。这种组合方式常叫做双因子认证或者两阶段验证。

为了鼓励广泛采用双因子认证的方式,Google公司发布了Google Authenticator,一款开源的,可基于开放规则(如 HMAP/基于时间)生成一次性密码的软件。这是一款跨平台软件,可运行在Linux, Android, iOS。Google公司同时也支持插件式鉴别模块PAM(pluggable authentication module),使其能和其他也适用PAM进行验证的工具(如OpenSSH)协同工作。

在本教程中,我们将叙述集成OpenSSH和Google提供的认证器实现如何为SSH服务设置双因子认证。我将使用一款Android设备来生成一次性密码,本教程中需要两样武器:(1)一台运行着OpenSSH服务的Linux终端,(2)一台安卓设备。

在Linux系统中安装Google Authenticator

第一步需要在运行着OpenSSH服务的Linux主机上安装Google认证器。按照如下步骤安装Google认证器及其PAM模块。

用安装包安装 Google Authenticator

如果你不想自己构建 Google Authenticator,在几个 Linux 发行版上有已经编译好的安装包。安装包里面包含 Google Authenticator 二进制程序和 PAM 模块。

在 Ubuntu 上安装 Google Authenticator:

$ sudo apt-get install libpam-google-authenticator

在 Fedora 上安装 Google Authenticator:

$ sudo yum install google-authenticator

在 CentOS 上安装 Google Authenticator ,需要首先启用 EPEL 软件库,然后运行如下命令:

$ sudo yum install google-authenticator

如果不想使用已经编译好的安装包,或者你的 Linux 发行版不在此列,可以自行编译:

在 Linux 上 Google Authenticator

首先,安装构建 Google Authenticator 所需的软件包。

在 Debian、 Ubuntu 或 Linux Mint 上:

$ sudo apt-get install wget make gcc libpam0g-dev

在 CentOS、 Fedora 或 RHEL上:

$ sudo yum install wget make gcc pam-devel

然后下载 Google Authenticator 的源代码,并按如下命令编译。

$ wget  
$ tar xvfvj libpam-google-authenticator-1.0-source.tar.bz2
$ cd libpam-google-authenticator-1.0
$ make

如果构建成功,你会在目录中看到 pamgoogleauthenticator.so 和 google-authenticator 两个文件。

最后,将 Google Authenticator 安装到合适位置

$ sudo make install

排错

当编译 Google Authenticator 时出现如下错误:

fatal error: security/pam_appl.h: No such file or directory

要修复这个问题,请安装如下依赖包。

在 Debian、 Ubuntu 或 Linux Mint 上:

$ sudo apt-get install libpam0g-dev

在 CentOS、 Fedora 或 RHEL 上:

$ sudo yum install pam-devel

当Google认证器安装好后,你需要在Linux主机上创建验证密钥,并且在安卓设备上注册,注意这项配置操作是一次性的。我们将详细叙述如何完成这些操作:

生成验证密钥

在Linux主机上运行Google认证器

$ google-authenticator

你将看到一个QR码,它使用如下图形表示我们数字形态的密钥。一会我们要用到它在安卓设备上完成配置。

Google认证器会问一些问题,如果你不确定,就回答"Yes"。这个应急备用验证码(图中 emergency scratch codes)可以在你由于丢失了绑定的安卓设备的情况下(所以不能得到生成的一次性密码)恢复访问。最好将应急备用验证码妥善保存。

在安卓设备上运行Google认证器

我们需要在安卓设备上安装Google Authenticator app才能完成双因子认证,到Google Play下载并安装一个。在安卓设备上运行Google认证器,找到下图所示中的配置菜单。

你可以选择"Scan a barcode" 或者"Enter provided key"选项。"Scan a barcode"允许你扫描QR码来完成密钥的输入,在此可能需要先安装扫描软件Barcode Scanner app。如果选择"Enter provided key"选项,你可以使用键盘输入验证密钥,如下图所示:

无论采用上述两种选项的任何方式,一旦成功,你将看到注册成功提示和一次性密码,如下图所示:

为SSH服务器用Google认证器

最终我们需要修改两个文件来完成集成Google认证器和OpenSSH服务这临门一脚。

首先,修改PAM配置文件,命令和需添加的内容如下:

$ sudo vi /etc/pam.d/sshd

auth required pam_google_authenticator.so

然后打开SSH配置文件,找到参数ChallengeResponseAuthentication,并启用它。

$ sudo vi /etc/ssh/sshd_config

ChallengeResponseAuthentication yes

最后,重启SSH服务。

在 Ubuntu、 Debian 和 Linux Mint 上:

$ sudo service ssh restart

在Fedora (或 CentOS/RHEL 7)上:

$ sudo systemctl restart sshd

在CentOS 6.x或 RHEL 6.x上:

$ sudo service sshd restart

验证双因子认证

在绑定的安卓设备上运行Google认证器,获得一个一次性验证码,该验证码30秒内有效,一旦过期,将重新生成一个新的验证码。

现在和往常一样,使用SSH登录终端

$ ssh user@ssh_server

当提示你输入验证码的时候,输入我们刚获得的验证码。验证成功后,再输入SSH的登录密码。

双因子认证通过在用户密码前新增一层来有效的保护我们脆弱的用户密码。你可以使用Google认证器来保护我们其他的密码,如Google账户, WordPress.com, Dropbox.com, Outlook.com等等。是否使用这项技术,取决于我们自己,但采用双因子认证已经是行业的大趋势了。

原文发布于微信公众号 - 马哥Linux运维(magedu-Linux)

原文发表时间:2014-09-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏北京马哥教育

马哥金牌分享 | 十分钟学会用Django快速搭建一个blog

本文是由马哥教育金牌讲师小智的文字分享《如何快速搭建一个博客》整理而来。 ---- 1.django简介 Django是一个开放源代码的Web应用框架,由Py...

33940
来自专栏琯琯博客

awesome-sysadmin-cn资源

系统管理员 资源列表,内容包括:备份/克隆软件、云计算/云存储、协作软件、配置管理、日志管理、监控、项目管理 备份 备份软件 Amanda:客户端-服务器模型备...

744120
来自专栏SDNLAB

基于sFlow流量监控的DDOS防御和队列调整

编者按:最近涉及的一个实验,需要获取链路接口的实时信息,比如带宽、流量统计等。起初打算从OpenFlow协议中的计数器入手,OpenFlow交换机对每一个流维护...

65560
来自专栏阮一峰的网络日志

一次性Email地址

是的,一旦给出Email地址,就有收到大量垃圾邮件的危险。但是,很多网站注册的时候,都要求进行Email验证,如果验证不通过,就无法注册。那么有没有变通方法?

1K20
来自专栏沃趣科技

ASM 翻译系列第十一弹:高级知识 Offline or drop?

原作者:Bane Radulovic 译者: 庄培培 审核: 魏兴华 DBGeeK社群联合出品 Offline or drop? 当一个ASM磁盘不...

39440
来自专栏区块链

如何在登录界面获取 shell?

信息安全公益宣传,信息安全知识启蒙。 教程列表见微信公众号底部菜单 ? Inception Inception是由Carsten Maartmann-Moe开发...

250100
来自专栏Linyb极客之路

APP架构设计经验谈:APP登录自动登录—token

程序员总能给自己找到偷懒的方法,有的程序为了省事,会在用户登录后,直接把用户名和密码保存在本地,然后每次调用后端接口时作为参数传递。真省事儿啊!可这种方法简单就...

1.7K40
来自专栏IT大咖说

深入浅出XTTS:Oracle数据库迁移升级利器

摘要 通常我们要进行数据迁移,可以使用的方案有很多,比如数据泵、RMAN、GoldenGate,甚至是第三方同步软件DSG、DDS等。但是对于传统的迁移方式来说...

60470
来自专栏漏斗社区

斗哥说|phpcms_v9.6.0 任意文件上传漏洞复现!

前言 在开启严肃认真的知识分享前,斗哥跟大家说一件严肃的事儿!本周日是一年一度的母亲节!无论你身处他乡还是奔波忙碌,别忘了给亲爱的母上大人送上节日的祝福,家永远...

58380
来自专栏安恒信息

网络威胁预警 Flash跨域数据劫持漏洞

目前互联网上许多网站都允许普通用户上传文件,但是很多网站在开发设计过程中由于程序员缺乏安全意识,逻辑处理方面不够严谨,导致在用户上传文件的过程中没有...

31450

扫码关注云+社区

领取腾讯云代金券