2019年06月20日 星期四

给Linux带上Google Authenticator安全套

linux 耗子睡着了 1129阅读 0评论

先说说什么是Google Authenticator(以下简称GA),你可以把它想成开源的QQ手机令牌,基于时间和一定的算法生成6位动态口令。一听到动态口令,顿时安全感提升了一大截。在次之前我也基于GA加固了自己项目的管理员认证这一部分,算法特别简单,过两天我在单独写一个GA算法的文章。

环境及依赖

  1. Centos7    6.4也可以,我只是喜欢新东西而已:)
  2. chrony
  3. pam-devel
  4. libpam-google-authenticator-1.0-source.tar.bz2
  5. qrencode-3.4.4 用于生成二维码,贼拉牛逼
  6. libpng、libpng-devel

安装开发者工具

安装pam开发包

安装chrony,更快更精准同步系统时间

更新系统时间

下载GA源码

编译安装GA

配置PAM使ssh支持GA认证

编辑sshd文件,在第一行添加如下内容

配置sshd

修改如下3个参数值

  • PasswordAuthentication  yes
  • ChallengeResponseAuthentication  yes
  • UsePAM  yes

创建软连

重启ssh服务

为当前用户设置GA

执行该命令后,产生一个连接和二维码,直接使用GA客户端扫描二维码添加一个令牌到手机。

并且还会产生五个code,用于在客户端令牌丢失的情况下使用,每使用一个失效一个。后期登录成功后可再次生成

会出现五个问题,建议全部Y

测试

退出,从新连接服务器

 

您必须 登录 才能发表评论!