2. 程式人生 > 其它 >Google雙向認證

Google雙向認證

阿新 發佈:2022-05-25
目錄

Google雙向認證

GoogleAuthenticator(谷歌身份驗證器)介紹:

一般來說,使用ssh遠端登入伺服器,只需要輸入賬號和密碼,顯然這種方式不是很安全。為了安全著想,可以使用GoogleAuthenticator(谷歌身份驗證器),以便在賬號和密碼之間再增加一個驗證碼,只有輸入正確的驗證碼之後,再輸入密碼才能登入。這樣就增強了ssh登入的安全性。賬號、驗證碼、密碼三者缺一個都不能登入,即使賬號和密碼正確,驗證碼錯誤,同樣登入失敗。其中,驗證碼是動態驗證碼,並且是通過手機客戶端自動獲取(預設每隔30秒失效一次)

GoogleAuthenticator安裝部署:

# 1.安裝依賴
[root@m01 ~]# yum -y install pam-devel libpng-devel autoconf automake libtool

# 2.下載Google apm外掛
## 官方下載地址
[root@m01 opt]# wget https://github.com/google/google-authenticator-libpam/archive/1.04.tar.gz
## 個人下載地址
[root@m01 ~]# wget http://test.driverzeng.com/other/1.04.tar.gz

# 3.解壓外掛
[root@m01 ~]# tar xf 1.04.tar.gz

# 4.構建程式碼
## 進入解壓開的目錄
[root@m01 ~]# cd google-authenticator-libpam-1.04/
## 執行bootstrap構建
[root@m01 google-authenticator-libpam-1.04]# ./bootstrap.sh

# 5.生成
[root@m01 google-authenticator-libpam-1.04]# ./configure

# 6.編譯 && 安裝
[root@m01 google-authenticator-libpam-1.04]# make && make install

# 7.檢查外掛是否安裝
[root@m01 google-authenticator-libpam-1.04]# ll /usr/local/lib/security/
-rwxr-xr-x 1 root root 1021 May 25 09:15 pam_google_authenticator.la
-rwxr-xr-x 1 root root 133552 May 25 09:15 pam_google_authenticator.so

# 8.將安裝好的外掛,拷貝到系統庫檔案目錄中
[root@m01 ~]# cp /usr/local/lib/security/pam_google_authenticator.so /usr/lib64/security/

# 9.生成初始google認證識別碼
[root@m01 ~]# google-authenticator
## 認證令牌是否隨時間變化
Do you want authentication tokens to be time-based (y/n) y
Your new secret key is: 7WHLC4Z6LT3W4BTK6OR2AVCR7E
Your verification code is 020267
Your emergency scratch codes are:
81061642
20695747
19608008
26971435
40551289
##是否更新google_authenticator
Do you want me to update your "/root/.google_authenticator" file? (y/n)

手機下載GoogleAuthenticator掃碼生成動態認證令牌

將Goole 2FA接入SSH

# 1.修改ssh認證配置
[root@m01 ~]# vim /etc/pam.d/sshd
auth 	required 	pam_google_authenticator.so

# 2.修改SSH配置檔案,關聯Google認證
[root@m01 ~]# vim /etc/ssh/sshd_config
69 ChallengeResponseAuthentication yes

# 3.重啟sshd服務
[root@m01 ~]# systemctl restart sshd

使用Python指令碼登入CRT:

# $language = "python"
# $interface = "1.0"
import hmac, base64, struct, hashlib, time,re

#獲取當前指令碼所在的tab物件
objTab = crt.GetScriptTab()
#objTab = crt.GetActiveTab()
objTab.Screen.Synchronous = True
objTab.Screen.IgnoreEscape = True
#獲取終端名字
tabName=objTab.Caption
reIp=r'\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}'
hostIp=re.findall(reIp,tabName)[0]
secretKey="NJZ4E6D7JHMIYLK5MFJLSWYDSE"

def calGoogleCode(secretKey):
    #secreKey 需要是8的倍數
    t = int(time.time())//30
    lens = len(secretKey)
    lenx = 8 - (lens % 4 if lens % 4 else 4)
    secretKey += lenx * '='
    key = base64.b32decode(secretKey)
    msg = struct.pack(">Q", t)
    googleCode = hmac.new(key, msg, hashlib.sha1).digest()
    o = ord(str(googleCode[19])) & 15
    googleCode = str((struct.unpack(">I", googleCode[o:o+4])[0] & 0x7fffffff) % 1000000)
    return googleCode.zfill(6)

def get_string(objTab,szStart,szPrompt):
    objTab.Screen.WaitForStrings(szStart)
    return objTab.Screen.ReadString(szPrompt)
def send_string(objTab,waitString,strings,selfSleepTime=20):
    objTab.Screen.WaitForStrings(waitString)
    time.sleep(0.0001)
    for i in strings:
        crt.Sleep(5)
        objTab.Screen.Send(i)
    # time.sleep(0.0001)
    objTab.Screen.WaitForStrings(strings)
    if strings[-1] != '\r':
        objTab.Screen.Send('\r')
    #msg(objTab.Screen.ReadString('[ q ]'))
    # time.sleep(0.0001)

def send_pass(objTab,waitString,strings):
    objTab.Screen.WaitForStrings(waitString)
    for i in strings:
        crt.Sleep(5)
        objTab.Screen.Send(i)
    if strings[-1] != '\r':
        objTab.Screen.Send('\r')
    time.sleep(0.01)

#傳送2fa
send_pass(objTab,'Verification code:',calGoogleCode(secretKey))
## 傳送密碼
send_pass(objTab,'Password: ','1')   # '1' 是伺服器的密碼
#傳送登入ip
send_string(objTab,'Opt> ',hostIp)
    
#objTab.Screen.WaitForStrings("[MFA auth]: ","")
#if objTab.Screen.WaitForStrings("Opt> ",1):
#    #傳送登入ip  克隆會話,不需要二次驗證碼
#    send_string(objTab,'Opt> ',hostIp)
#else:     
#    #傳送2fa
#    send_pass(objTab,'[MFA auth]: ',calGoogleCode(secretKey))
#    #傳送登入ip
#    send_string(objTab,'Opt> ',hostIp)

相關推薦

Google雙向認證

目錄 Google雙向認證 GoogleAuthenticator(谷歌身份驗證器)介紹: GoogleAuthenticator安裝部署:

python使用ssl的單向認證雙向認證的客戶端程式碼

參考文件:https://blog.csdn.net/wuliganggang/article/details/78428866 實現: 1. 單向認證:client需要一個ca.crt,校驗伺服器的合法性。

node https 雙向認證

本部落格結合一下連線 https://www.cnblogs.com/wzs5800/p/12778904.html. https://www.cnblogs.com/wzs5800/p/12779223.html

go學習筆記 http2.0使用【SAN 和雙向認證

簡單說一下我的環境 win7+go1.15.6,GO1.15 X509 不能用了,需要用到SAN證書, 證書

淺談https中的雙向認證

總述 https簡單來說就是在http協議的基礎上增加了一層安全協議。通常為TLS或者SSL(一般現在都採用TLS,更加安全)。這一層安全協議的最主要的作用有兩個:

grpc通過自籤CA證書、server、client雙向認證【支援go1.15】

fix go1.15bug openssl 生成證書上 grpc 報 legacy Common Name field, use SANs or temporarily enable Common Name matching with GODEBUG=x509ignoreCN=0

圖解 https 單向認證雙向認證

圖解 https 單向認證雙向認證 來源:https://cloud.tencent.com/developer/news/233610 一、Http

SpringBoot服務間使用自簽名證書實現https雙向認證

SpringBoot服務間使用自簽名證書實現https雙向認證 以服務server-one和server-two之間使用RestTemplate以https呼叫為例

Java 基於檔案雙向認證的 HTTPS 請求,支援 CICD

1. 原理 雙向驗證即: 客戶端與服務端在進行資料傳輸的時候雙方都需要驗證對方的身份。

uniapp做https證書雙向認證(openssl)

本文主要參考了: https://www.cnblogs.com/xiao987334176/p/11041241.html https://ask.dcloud.net.cn/article/39567

go語言grpc框架實戰-01-客戶端和服務端雙向認證,藉助grpc-gateway支援grpc和http服務

建立proto中間檔案 protobuf(protocol buffer)特點 效能高、壓縮好、傳輸快、維護方便,一些第三方rpc庫都會支援protobuf

Nginx配置https雙向認證

一.生成自簽名根證書建立根證書私鑰:openssl genrsa -out root.key 1024建立根證書請求檔案:    openssl req -new -out root.csr -key root.key         ############注意##############    根證書的

雙向認證介面(ssl加密)使用fiddler工具抓取+如何設定jmeter

一、Fiddler抓包加密(ssl)介面 粗略記錄下專案介面加密後的操作 1、ios手機         1、PC端安裝開發或運維提供的證書(一般有xxx.cer和xxx.p12);

Google Analytics(分析)個人資格認證2018-2019-2020最新中英文題庫

Google Analytics(分析)個人資格認證考查的是 Google Analytics(分析)的初高階概念,其中包括:規劃和原則;實施和資料收集;配置和管理;轉化和歸因;以及報告、指標和維度。

rsync + inotify 實現檔案實時雙向自動同步

更多技術文章,請關注:github.com/yongxinz/te… 簡介 隨著應用系統規模的不斷擴大,對資料的安全性和可靠性也提出更好的要求,rsync 在高階業務系統中也逐漸暴露出了很多不足。

kubectl認證配置流程

在 linux 系統中可能會包含很多使用者,且不同使用者有不同的許可權,若需要為不同的使用者設定不同的操作K8s的許可權,就需要用到 K8s 的 rbac 機制。下面以建立一個 user 使用者,為其設定在 default namespace 下

理解Google Spanner(3):分散式事務原理與實現

本篇涉及到分散式事務的原理與Spanner事務實現,需要大概理解單機資料庫事務,如果還不理解,可以先看看之前的兩篇:

一網打盡JanusGraph"出邊入邊無向邊雙向邊"

起因參考我之前建立圖資料表的操作,要給“劉備”和“關羽”新增【兄弟】關係,要分別輸入劉備有個兄弟叫關羽,關羽有個兄弟叫劉備,神煩!

Egg.js 基於 jsonwebtoken 的 Token 實現系統登陸與介面認證

一、概述 本文,主要是對在 Egg.js 框架下如何使用JSON Web Token.js 生成的 Toke 實現使用者登陸認證

Spring Security 技術棧開發企業級認證授權(3)

歡迎關注個人部落格,此文為《Spring Security 技術棧開發企業級認證授權(2)》的後續