亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

用Google Authenticator加強SSH登錄安全性

發布時間:2020-07-05 22:02:22 來源:網絡 閱讀:769 作者:ljl_19880709 欄目:安全技術

環境:
CentOS 6.3 x86_64

基礎組件安裝:

yum -y install wget gcc make pam-devel libpng-devel


一、安裝qrencode
在Linux上,有一個名為 QrenCode 的命令行工具可以很容易幫我們生成二維碼,google authenticator命令行生成二維碼就是調用它


wget http://fukuchi.org/works/qrencode/qrencode-3.3.1.tar.gz
tar zxf qrencode-3.3.1.tar.gz
cd qrencode-3.3.1
./configure --prefix=/usr && make && make install


二、安裝google authenticator PAM插件



wget http://google-authenticator.googlecode.com/files/libpam-google-authenticator-1.0-source.tar.bz2
tar jxf libpam-google-authenticator-1.0-source.tar.bz2
cd libpam-google-authenticator-1.0
make && make install


三、配置google authenticator

Google Authenticator 其實是一套開源的解決方案,所以不僅在 Google 的網站上能用,在其他地方也能用的。然而,在 Google 的網站上,會直接給你一個 QR 碼讓你掃的,而自己配置的 Google Authenticator 則要自己生成了。
首先需要切換到對應的用戶,如果 VPS 上只有一個用戶的話,自然是可以省略這一步的,但是多用戶的 VPS 需要先切換到對應的用戶,再運行 google-authenticator 命令,程序會問你Do you want authentication tokens to be time-based (y/n),大意是基于時間生成驗證碼(及TOTP),這里選擇y。結果類似這樣:

用Google Authenticator加強SSH登錄安全性
這個 QR 碼自然是給 Google Authenticator 應用程序來掃描的,也可以訪問上面的那個鏈接,用 Google Chart API 生成的 QR 碼來掃描。還可以照著 QR 碼下面的文字密鑰手工輸入。當 Google Authenticator 識別了這個賬號之后,驗證器就配置好了。在文字密鑰下面還提供了幾個應急碼,為手機丟了等情況下所用的,可以妥善保管。
這時 Google Authenticator 雖然運行了,但是相關設置還沒有保存,程序會問你 Do you want me to update your “/root/.google_authenticator” file (y/n) (是否將配置寫入家目錄的配置文件),當然是回答 y 了。又會問

Do you want to disallow multiple uses of the same authenticationtoken? This restricts you to one login about every 30s, but it increasesyour chances to notice or even prevent man-in-the-middle attacks (y/n)

大意是說是否禁止一個口令多用,自然也是答 y。下一個問題是

By default, tokens are good for 30 seconds and in order to compensate forpossible time-skew between the client and the server, we allow an extratoken before and after the current time. If you experience problems with poortime synchronization, you can increase the window from its defaultsize of 1:30min to about 4min. Do you want to do so (y/n)

大意是問是否打開時間容錯以防止客戶端與服務器時間相差太大導致認證失敗。這個可以根據實際情況來。我的ipad時間很準(與網絡同步的),所以答 n,如果一些平板電腦不怎么連網的,可以答 y 以防止時間錯誤導致認證失敗。再一個問題是

If the computer that you are logging into isn't hardened against brute-forcelogin attempts, you can enable rate-limiting for the authentication module.By default, this limits attackers to no more than 3 login attempts every 30s.Do you want to enable rate-limiting (y/n)

選擇是否打開嘗試次數限制(防止暴力***),自然答 y。
問題答完了,家目錄中多出一個 .google_authenticator 文件(默認權限為 400),這時客戶端與服務端已經配套起來了,以后不用再運行 google-authenticator 命令了,否則會重新生成一組密碼。

四、配置SSH驗證
此時雖然 Google Authenticator 已經配置好了,但是并沒有任何程序會去調用它。所以需要設置 SSH 登錄的時候去通過它驗證。
打開 /etc/pam.d/sshd 文件,添加
auth required pam_google_authenticator.so

這一行,保存。再打開 /etc/ssh/sshd_config 文件,找到
ChallengeResponseAuthentication no

把它改成
ChallengeResponseAuthentication yes

并保存。最后,輸入
service ssh restart

來重啟 SSH 服務以應用新的配置。
這時候再用 SSH 登錄的話就會這樣了:

用Google Authenticator加強SSH登錄安全性
這樣就成功了。


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

老河口市| 土默特左旗| 巴林右旗| 石门县| 缙云县| 新蔡县| 涟源市| 金堂县| 横山县| 泸西县| 万年县| 呼伦贝尔市| 太仓市| 汉中市| 雷山县| 德惠市| 贵阳市| 忻州市| 永兴县| 宣化县| 宁化县| 英吉沙县| 奈曼旗| 保靖县| 拉萨市| 南和县| 牡丹江市| 黄龙县| 绵阳市| 泸西县| 吴桥县| 鄂托克前旗| 永嘉县| 岫岩| 宜川县| 张家界市| 贵溪市| 高淳县| 澄城县| 怀远县| 蓝田县|