Linux系统中的SSH如何添加双重认证

相关推荐

　　近来很多知名企业都出现了密码泄露，业内对多重认证的呼声也越来越高。在这种多重认证的系统中，用户需要通过两种不同的认证程序：提供他们知道的信息(如用户名/密码)，再借助其他工具提供用户所不知道的信息(如用手机生成的一次性密码)。这种组合方式常叫做双因子认证或者两阶段验证。

　　那么我们要如何为Linux系统中的SSH添加双重认证，下面跟yjbys小编一起来看看吧!

　　为了鼓励广泛采用双因子认证的方式，Google公司发布了Google Authenticator，一款开源的，可基于开放规则(如 HMAP/基于时间)生成一次性密码的软件。这是一款跨平台软件，可运行在Linux, Android, iOS。Google公司同时也支持插件式鉴别模块PAM(pluggable authentication module)，使其能和其他也适用PAM进行验证的工具(如OpenSSH)协同工作。

　　在本教程中，我们将叙述集成OpenSSH和Google提供的认证器实现如何为SSH服务设置双因子认证。我将使用一款Android设备来生成一次性密码，本教程中需要两样武器：(1)一台运行着OpenSSH服务的Linux终端，(2)一台安卓设备。

　　在Linux系统中安装Google Authenticator第一步需要在运行着OpenSSH服务的Linux主机上安装Google认证器。按照如下步骤安装Google认证器及其PAM模块。

　　用安装包安装 Google Authenticator如果你不想自己构建 Google Authenticator，在几个 Linux 发行版上有已经编译好的安装包。安装包里面包含 Google Authenticator 二进制程序和 PAM 模块。

　　在 Ubuntu 上安装 Google Authenticator：

　　$ sudo apt-get install libpam-google-authenticator

　　在 Fedora 上安装 Google Authenticator：

　　$ sudo yum install google-authenticator

　　在 CentOS 上安装 Google Authenticator ，需要首先启用 EPEL 软件库，然后运行如下命令：

　　$ sudo yum install google-authenticator

　　如果不想使用已经编译好的安装包，或者你的 Linux 发行版不在此列，可以自行编译：

　　在 Linux 上 Google Authenticator首先，安装构建 Google Authenticator 所需的软件包。

　　在 Debian、 Ubuntu 或 Linux Mint 上：

　　$ sudo apt-get install wget make gcc libpam0g-dev

　　在 CentOS、 Fedora 或 RHEL上：

　　$ sudo yum install wget make gcc pam-devel

　　然后下载 Google Authenticator 的源代码，并按如下命令编译。

　　$ wget

　　$ tar xvfvj libpam-google-authenticator-1.0-source.tar.bz2

　　$ cd libpam-google-authenticator-1.0

　　$ make

　　如果构建成功，你会在目录中看到 pamgoogleauthenticator.so 和 google-authenticator 两个文件。

　　最后，将 Google Authenticator 安装到合适位置

　　$ sudo make install

　　排错当编译 Google Authenticator 时出现如下错误：

　　fatal error: security/pam_appl.h: No such file or directory

　　要修复这个问题，请安装如下依赖包。

　　在 Debian、 Ubuntu 或 Linux Mint 上：

　　$ sudo apt-get install libpam0g-dev

　　在 CentOS、 Fedora 或 RHEL 上：

　　$ sudo yum install pam-devel

　　当Google认证器安装好后，你需要在Linux主机上创建验证密钥，并且在安卓设备上注册，注意这项配置操作是一次性的。我们将详细叙述如何完成这些操作：

　　生成验证密钥在Linux主机上运行Google认证器

　　$ google-authenticator

　　为SSH服务器用Google认证器最终我们需要修改两个文件来完成集成Google认证器和OpenSSH服务这临门一脚。

　　首先，修改PAM配置文件，命令和需添加的内容如下：

　　$ sudo vi /etc/pam.d/sshd

　　auth required pam_google_authenticator.so

　　然后打开SSH配置文件，找到参数ChallengeResponseAuthentication，并启用它。

　　$ sudo vi /etc/ssh/sshd_config

　　ChallengeResponseAuthentication yes

　　最后，重启SSH服务。

　　在 Ubuntu、 Debian 和 Linux Mint 上：

　　$ sudo service ssh restart

　　在Fedora (或 CentOS/RHEL 7)上：

　　$ sudo systemctl restart sshd

　　在CentOS 6.x或 RHEL 6.x上：

　　$ sudo service sshd restart

　　验证双因子认证在绑定的安卓设备上运行Google认证器，获得一个一次性验证码，该验证码30秒内有效，一旦过期，将重新生成一个新的验证码。

【Linux系统中的SSH如何添加双重认证】相关文章：

Linux认证考试科目02-02

2024年Linux认证考试试题及答案09-20

关于dd命令备份Linux系统的6个例子07-19

烘焙常识：面包中的那些添加剂09-09

留学英国毕业拿diploma学历认证如何办理07-26