百度360必应搜狗淘宝本站头条
tomcat 乱码无法与服务器建立安全连接是什么意思sysv-rc-confdocker映射容器目录到宿主机internet explorer 增强的安全配置已启用
当前位置:网站首页 > 技术文章 > 正文

Linux服务器配置动态密钥进行ssh二次验证

nanshan 2024-11-21 18:51 8 浏览 0 评论

相信对于所有网友来说,安全永远是第一位的,各种网站和系统一定要保护好自己的账户安全,很多朋友注册一些的系统的时候会发现有的网站允许绑定自己的谷歌验证器,作为二次验证提高安全性。那作为程序员来说,给自己的服务器加上二次验证的功能,那就更酷了。

我们以centos为例。

安装依赖

yum list | grep google-authenticator
yum install google-authenticator
yum install qrencode

配置Google Authenticator

安装完直接跑下面的命令进行配置,注意只在当前用户生效

> google-authenticator

之后会需要确认几点信息

Do you want authentication tokens to be time-based (y/n) y

是否配置基于时间的动态密钥,选择y,之后会出现超级大一个二维码,下面还会有一些小字,这里的key就是用于配置手机端app的,我们先保存下来,不用慌,因为这个key随时都可以查得到.

Do you want me to update your "/root/.google_authenticator" file? (y/n) y

是否将配置信息更新到自己家目录,选择y进行更新,这个文件里面就保存着上面的key信息,以防后续还有新的手机设备需要用到key

Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y

是否禁止同一密钥在30秒内被多次使用,如果想要更安全就选择y,如果想要更方便就选择n

By default, a new token is generated every 30 seconds by the mobile app.
In order to compensate for possible time-skew between the client and the server,
we allow an extra token before and after the current time. This allows for a
time skew of up to 30 seconds between authentication server and client. If you
experience problems with poor time synchronization, you can increase the window
from its default size of 3 permitted codes (one previous code, the current
code, the next code) to 17 permitted codes (the 8 previous codes, the current
code, and the 8 next codes). This will permit for a time skew of up to 4 minutes
between client and server.
Do you want to do so? (y/n) n

是否允许前8次和后8次的动态密钥也有效,如果客户端和手机端都是基于网络的时间同步,选择n提高安全性

If the computer that you are logging into isn't hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting? (y/n) y

是否限制30秒内最多3次尝试,为了防止恶意试错,选择y 这样服务端的Google Authenticator就配置完毕。下面做一些系统设置,使上面的配置用作ssh。

配置pam

vim /etc/pam.d/sshd
auth required pam_google_authenticator.so nullok
vim /etc/ssh/sshd_config
UsePAM yes
PasswordAuthentication no
ChallengeResponseAuthentication yes
sshd -t
systemctl restart sshd

需要注意的是必须设置PasswordAuthentication no(禁用密码登陆,但是并非必须使用公钥),否则二次验证无法使用,会报如下错误:

sshd[2690384]: fatal: PAM: pam_setcred(): Permission denied

手机设置

推荐使用 andotp 这个APP,扫码添加即可。

如果换了手机也很容易,登录到服务器,找到~/.google_authenticator文件,里面会有之前保存的key,重新在新手机进行添加即可。

Xshell登录验证

下面还是正常ssh登陆服务器,不过输入完用户名以后只能选择交互键盘,依次输入密码和OTP验证码即可。关于登录的一些报错都在/var/log/secure这个日志文件中,不管是什么场景登陆失败都可以先查看下失败日志,对症下药。

注意保持时间同步。 直接使用ntpdate即可,国内可以使用国家授时中心的地址

ntpdate -u 210.72.145.44

基本上服务器和手机都是用的网络时间就不太会有时间同步的问题。

相关推荐

Linux/Unix 系统中非常常用的命令

Linux/Unix系统中非常常用的命令,它们是进行文件操作、文本处理、权限管理等任务的基础。下面是对这些命令的简要说明:**文件操作类:*****`ls`(list):**列出目录内容,显...

教你如何在Linux中删除分区(CLI篇)

文接上篇,继续以Ubuntu系统为例。删除分区前,急得重要数据备份!备份!备份用命令操作分区,用的最多的莫过于fdisk了,几乎所有的Linux发行版都默认带有fdisk。首先要知道的是,你想删除的分...

敲完就让你提桶跑路的Linux命令(敲完就让你提桶跑路的linux命令是什么)

不谨慎可能就会让你提桶的Linux命令!!!删除文件rm-rf该命令是删除文件或文件夹等最快的方式之一。删除后的内容很难恢复,如果删除系统文件可能会导致系统崩坏。>rm-rf/#强制...

Log文件可以删除吗(taxukeylog文件可以删除吗)

Log文件(日志文件)是否可以删除取决于具体场景和文件类型。以下是详细分析和建议:一、哪些Log文件可以删除?非关键应用日志用户级应用日志:如浏览器缓存日志、游戏临时日志等,通常不影响系统运行,可定期...

Linux 删除空目录(linux直接删除目录)

rmdir命令用来删除空目录。当目录不再被使用时,或者磁盘空间已到达使用限定值,就需要删除失去使用价值的目录。利用rmdir命令可以从一个目录中删除一个或多个空的子目录。该命令从一个目录中删除一个或...

在 Windows 11 或 10 上删除、创建和格式化分区

在Windows11或10上删除、创建和格式化分区假设您的现有电脑使用的是传统硬盘,但现在您想再添加一个硬盘或SSD。当然,后者将用于启动操作系统,而前者将作为纯数据存储。在成功将操作系统...

如何使用 Apt Clean 命令清除 APT 缓存?

APT(AdvancedPackageTool)是Debian系Linux发行版的包管理工具,用于处理软件包的安装、升级和依赖管理。在使用apt命令(如aptinstall、apt...

Linux 磁盘空间不够用?5 招快速清理文件,释放 10GB 空间不是梦!

刚收到服务器警告:磁盘空间不足90%!装软件提示Nospaceleftondevice!连日志都写不进去,系统卡到崩溃?别慌!今天教你5个超实用的磁盘清理大招,从临时文件到无用软件一键搞定...

Linux清空日志方法(linux怎么清理日志)

方法1:使用>重定向>/path/to/logfile或(需要权限时):sudosh-c'>/var/log/logfile'方法2:使用trun...

如何在Eclipse中搭建Zabbix源码的调试和开发环境

Zabbix是一款非常优秀的企业级软件,被设计用于对数万台服务器、虚拟机和网络设备的数百万个监控项进行实时监控。Zabbix是开放源码和免费的,这就意味着当出现bug时,我们可以很方便地通过调试源码来...

Linux操作系统之常用命令(linux操作系统之常用命令有哪些)

Linux操作系统一、常用命令1.系统(1)系统信息arch显示机器的处理器架构uname-m显示机器的处理器架构uname-r显示正在使用的内核版本dmidecode-q显示硬件系...

理解linux内核的vmlinuz和initrd(linux内核原理及分析)

Originaladdress:http://www.chenjunlu.com/2010/11/understanding-of-vmlinuz-initrd-and-system-map/1....

Linux纯干货知识总结|面试专用(linux面试宝典)

学习Linux的重要性相信不用我多说大家也明白,以下是小编总结的常用Linux基础知识以及面试常问的Linux命令,希望能帮助大家更规范地理解和使用~绝对路径和相对路径绝对路径以正斜杠开始完整的文件的...

Linux基础知识之启动流程分析(简述linux启动流程)

Linux系统启动原理:1.poweron开机。2.开机自检:电脑开机后首先加载BIOS(BasicInput/OutputSystem基本输入输出系统)。BIOS程序首先检查计算机能否满足运...

Java程序员必备——Linux的面试常见问题及面试题!你知道多少?

一.常用命令1.编辑相关①.awkNF:字段总数NR:第几行数据FS:分隔字符②.sed-n-i直接修改4a:在第四行后添加4i:在第四行前插入1,5csting:用sting替换1到5行...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表