1、一般ssh登录服务器,只需要输入账号和密码。
2、本教程的目的:在账号和密码之间再增加一个验证码,只有输入正确的验证码之后,再输入密码才能登录。这样就增强了ssh登录的安全性。
3、账号、验证码、密码三者缺一个都不能登录,即使账号和密码正确,验证码错误,同样登录失败。
4、验证码:是动态验证码,并且是通过手机客户端自动获取(默认每隔30秒失效一次)。
5、最终目的:远程ssh登录一台服务器,需要正确的账号、密码、及一个可以获取到动态验证码的手机
(目前支持Android和ios手机系统)

具体操作:
操作系统:CentOS release 6.9
(Final)  x86_64
一、关闭SELINUX
[root@localhost src]# sed -i
's/SELINUX=enforcing/SELINUX=disabled/g'   /etc/selinux/config

setenforce 0 #使配置立即生效

二、安装编辑工具包
1、使用CentOS默认yum源安装
yum -y install wget gcc make 
pam-devel libpng-devel

2、安装mercurial包
yum install
mercurial -y #安装

三、安装google authenticator PAM插件
cd
/usr/local/src

wget -c http://repository.timesys.com/buildsources/l/libpam-google-authenticator/libpam-google-authenticator-1.0/libpam-google-authenticator-1.0-source.tar.bz2

注意:google需要FQ,可以先想办法下载好libpam-google-authenticator-1.0-source.tar.bz2上传到/usr/local/src目录进行安装
tar
jxvf libpam-google-authenticator-1.0-source.tar.bz2 #解压
cd
libpam-google-authenticator-1.0 #进入目录
make #编译
make install #安装

四、安装QrenCode,此工具可以在Linux命令行下生成二维码
cd /usr/local/src
wget
http://fukuchi.org/works/qrencode/qrencode-3.4.4.tar.gz #下载
tar zxf qrencode-3.4.4.tar.gz
#解压
cd qrencode-3.4.4 #进入目录
./configure --prefix=/usr #配置
make
#编译
make install #安装

五、配置ssh服务调用google authenticator
PAM插件
vi /etc/pam.d/sshd #编辑,在第一行增加以下代码
auth       required    
pam_google_authenticator.so

:wq! #保存退出

vi /etc/ssh/sshd_config
#编辑

ChallengeResponseAuthentication yes
#修改no为yes

:wq! #保存退出
service sshd restart
#重启ssh服务,使配置生效.

六、使用google authenticator
PAM插件为ssh登录账号生成动态验证码.

注意:哪个账号需要动态验证码,就切换到该账号下进行操作:

[root@localhost ~]#
google-authenticator    #运行此命令

Do you want authentication tokens to
be time-based (y/n) y #提示是否要基于时间生成令牌,选择y
https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/root@localhost%3Fsecret%3DFNXBGHZZZXW26RGJ
Your
new secret key is: FNXBGHZZZXW26RGJ
Your verification code is 942343
Your
emergency scratch codes are:
  55345381
  59451334
  36342589
 
29986479
  65339227

#上面的网址(红色标记)为生成的二维码图形地址(需要FQ才能打开),还会生成密钥,以及5个紧急验证码(当无法获取动态验证码时使用,注意:这5个验证码用一个就会少一个!请保存好!)

Do you want me to update your
"/root/.google_authenticator" file (y/n)   y #提示是否要更新验证文件,选择y

Do you want to disallow multiple uses
of the same authentication

token? This restricts you to one
login about every 30s, but it increases

your chances to notice or even
prevent man-in-the-middle attacks (y/n)  y #禁止使用相同口令

By default, tokens are good for 30
seconds and in order to compensate for

possible time-skew between the client
and the server, we allow an extra

token before and after the current
time. If you experience problems with poor

time synchronization, you can
increase the window from its default

size of 1:30min to about 4min. Do you
want to do so (y/n) n

#默认动态验证码在30秒内有效,由于客户端和服务器可能会存在时间差,可将时间增加到最长4分钟,是否要这么做:这里选择是n,继续默认30秒

If the computer that you are logging
into isn't hardened against brute-force

login attempts, you can enable
rate-limiting for the authentication module.

By default, this limits attackers to
no more than 3 login attempts every 30s.

Do you want to enable rate-limiting
(y/n) y

#是否限制尝试次数,每30秒只能尝试最多3次,这里选择y进行限制

七、手机安装Google身份验证器,通过此工具扫描上一步生成的二维码图形,获取动态验证码

Android手机下载:

https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2

iOS手机下载:

https://itunes.apple.com/us/app/google-authenticator/id388497605

注意:打开google需要FQ,或者自己想办法下载Google身份验证器安装。另外,还需要安装条形码扫描器,用来扫描验证二维码,以获取动态验证码。

以Android手机为例:

安装好Google身份验证器,打开如下图所示:

开始设置----扫描条形码,然后扫描第六步中生成的二维码图形

八、ssh远程登录服务器

输入账号之后,会提示输入验证码

login as: root

Using keyboard-interactive
authentication.

Verification code:

打开手机上的Google身份验证器,输入动态验证码,回车。

注意:动态验证码没有回显,所以在屏幕上看不到输入的内容,但只要保证输入正确即可!

Using keyboard-interactive
authentication.

Password:

接着输入密码,即可成功登录系统!

注意:以此步骤必须在30秒内完成。否则动态验证码过期,必须重新操作。

Linux下使用Google Authenticator配置SSH登录动态验证码的更多相关文章

  1. 【Linux】使用Google Authenticator 实现ssh登录双因素认证

    一般来说,使用ssh远程登录服务器,只需要输入账号和密码,显然这种方式不是很安全.为了安全着想,可以使用GoogleAuthenticator(谷歌身份验证器),以便在账号和密码之间再增加一个验证码, ...

  2. Linux 利用Google Authenticator实现ssh登录双因素认证

    1.介绍 双因素认证:双因素身份认证就是通过你所知道再加上你所能拥有的这二个要素组合到一起才能发挥作用的身份认证系统.双因素认证是一种采用时间同步技术的系统,采用了基于时间.事件和密钥三变量而产生的一 ...

  3. centos6实现基于google authenticator 的ssh登录二次验证

    1.手机安装google身份验证器,在浏览器搜索身份验证器安装即可. centos6安装所需要的软件--- google-authenticator 2.查看这个包生成的所有文件和命令 3.输入goo ...

  4. CentOS7.4配置SSH登录密码与密钥身份验证踩坑

    简单记录,自用CentOS7.4虚拟机与ALiYunVPS,在配置ssh登录身份验证时碰到的问题. 阿里云VPS:因为在重置磁盘时选择了密钥对的身份验证方式,因此VPS中的CentOS7.4中的 /e ...

  5. linux下Java环境的配置

    linux下Java环境的配置 现在用linux的朋友越来越多了,前几天就有两个朋友问我linux下怎么配置java环境,我想还有很多朋友想了解学习这方面的东西,就写一个完全一点的linux java ...

  6. linux 下安装jdk及配置jdk环境图解

    linux 下安装jdk及配置jdk环境图解 一:先检測是否已安装了JDK 运行命令: # rpm -qa|grep jdk  或   # rpm -q jdk  或  #find / -name j ...

  7. linux下WEB服务器安装、配置VSFTP

    转载  http://www.oicto.com/centos-vsftp/?tdsourcetag=s_pcqq_aiomsg linux下WEB服务器安装.配置VSFTP 由 admin · 发布 ...

  8. Linux下rz,sz与ssh的配合使用

    Linux下rz,sz与ssh的配合使用 一般来说,linux服务器大多是通过ssh客户端来进行远程的登陆和管理的,使用ssh登陆linux主机以后,如何能够快速的和本地机器进行文件的交互呢,也就是上 ...

  9. Linux 下 mysql的基本配置

    Linux 下 mysql的基本配置 2013年02月27日 ⁄ MySQL ⁄ 共 3000字 ⁄ 暂无评论 ⁄ 被围观 2,483 views+ 1. Linux mysql安装:    $ yu ...

随机推荐

  1. Python语言编程基础

    Python 技能目标 理解编程基本原理和思想 掌握python语言的基础语法 能够使用python进行基本的开发工作 熟练使用项目开发IDE:eclipse,PyDev 能够使用Python开发简单 ...

  2. 通过shell脚本统计elasticsearch indices每天的数量以及大小

    前情提要: 最近elasticsearch集群总出问题,之前虽然修复了,现在又出现新的问题,于是PM要求拉取elasticsearch每天建立的索引有多少,索引有多大,需要对机器进行评估 客户现场无法 ...

  3. c++ 子类与父类之间的类型转换

    子类与父类之间的类型转换 先给一段代码 class Base { public: int a = 10; }; class pub_Derv : public Base { Base *getBase ...

  4. JVM基础学习(一):JVM内存模型

    在Java进阶知识的学习中,JVM都是避不过去的一关,我个人对于JVM的理解其实就是相当于在操作系统的外层再加了一层中间层,从来屏蔽了具体硬件之间的不同实现,使得Java实现了最重要的特性:一次编译, ...

  5. 「在 Kubernetes 上运行 Pgpool-Il」实现 PostgreSQL 查询(读)负载均衡和连接池

    介绍如何在 Kubernetes 上运行 Pgpool-II 实现 PostgreSQL 读查询负载均衡和连接池. 介绍 因为 PostgreSQL 是一个有状态的应用程序,并且管理 PostgreS ...

  6. [Python]数据类型、常量、变量和运算符(未完待续)

    标识符 一个ASCII标识符需要同时满足以下三个条件: 1.第一个字符必须是字母表中的字母或者下划线_ 2.标识符的其他部分由字母.数字.下划线组成 3.标识符对大小写是敏感的,即A与a是不同的 一般 ...

  7. Kafka经典三大问:数据有序丢失重复

    Kafka经典三大问:数据有序丢失重复 在kafka中有三个经典的问题: 如何保证数据有序性 如何解决数据丢失问题 如何处理数据重复消费 这些不光是面试常客,更是日常使用过程中会遇到的几个问题,下面分 ...

  8. 【C# TAP 异步编程】一 、async 修饰符(标记)

    async的作用: 1.async是一个标记,告诉编译器这是一个异步方法. 2.编译器会根据这个标志生成一个异步状态机. 3.编译器将原异步方法中的代码清空,写入状态机的配置,原先异步方法中的代码被封 ...

  9. 带你掌握Redis数据类型:string和Hash

    摘要:Redis中有五大数据类型,分别是String.List.Set.Hash和Zset. 本文分享自华为云社区<Redis的string类型常用命令解析>,作者:灰小猿 . 先问大家一 ...

  10. windows系统如何远程桌面连接

    转至:https://jingyan.baidu.com/article/67662997adb46a54d51b84bd.html 远程桌面连接是一种通过网络技术,远程操作另一台电脑的过程,随着wi ...