2. 程式人生 > >Google Authenticator實現Linux使用者登入雙認證

Google Authenticator實現Linux使用者登入雙認證

阿新 發佈:2018-12-12

#安裝開發者工具

yum groupinstall "Development Tools" -y

#安裝pam 開發包

yum install pam-devel -y

#安裝chrony軟體,chrony 是網路時間協議的(NTP)的另一種實現,因為動態口令再驗證時用到了時間,所以要保持時間上的一致性

yum install chrony -y

vi /etc/chrony.conf

server 2.cn.pool.ntp.org iburst

systemctl restart chronyd

chronyc sources

#如果時區不對的話,可以拷貝你當前地區所在地的時區到系統執行的時區

#cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime

###安裝google-authenticator

cd /opt

git clone https://github.com/google/google-authenticator-libpam.git

cd google-authenticator-libpam/

./bootstrap.sh

./configure

make && make install

ln -s /usr/local/lib/security/pam_google_authenticator.so /usr/lib64/security/pam_google_authenticator.so

#配置系統PAM模組,修改sshd支援谷歌的認證,在sshd檔案的第一行

vi /etc/pam.d/sshd

auth      required pam_google_authenticator.so

vi /etc/ssh/sshd_config

...

ChallengeResponseAuthentication yes

#安裝二維碼生成工具,這步也可以省略,如果不裝的話,因為下一步生成的二維碼就會成一個連結,

#到時將連結複製到你的瀏覽器中,也是可以出現二維碼的,到時利用智慧手機開啟google author 進行掃描。

cd /opt

yum -y install libpng libpng-devel

wget -c https://fukuchi.org/works/qrencode/qrencode-4.0.2.tar.bz2

tar jxvf qrencode-4.0.2.tar.bz2

cd qrencode-4.0.2

./configure

make && make install

#執行google-authenticator命令,它將會在當前登陸使用者的家目錄中生成一個新的金鑰

cd ~

google-authenticator

#Your emergency scratch codes are:

#  98627355

#  45083255

#  48589468

#  91373042

#  22191496

#上述共需回答5個y

#第1個:問你是否想做一個基於時間的令×××y

#第2個:是否更新你的google認證檔案,由於第一次設定,所以一定選y 

#第3個:是否禁止口令多用,這裡選擇y,禁止它,以防止中間人欺騙。y

#第4個:預設情況,1個口令的有效期是30s,這裡是為了防止主機時間和口令客戶端時間不一致,設定的誤差,可以選擇y,也可選n,看要求嚴謹程度y

#第5個:是否開啟嘗試次數限制,預設情況,30s內不得超過3次登陸測試,防止別人暴力破解。y

#並且上面這些設定將被儲存在使用者的/.google_authenticator檔案中,emergency scratch codes 中的5個程式碼是緊急程式碼,務必牢記,

#這是在你的動態口令無法使用的情況下使用的,記住,用一個失效一個。後期可以登陸上去後,重新生成!

#此時開啟手機上的Google Authenticator應用掃描二維碼

#最後重啟sshd服務

systemctl restart sshd

###--- secureCRT設定keyboard interactive需要放在第一位 ---###

### 解決內網主機跳過二次認證

#編輯pam.d下的sshd 檔案,在第一行增加內容,主要是指定允許的主機資訊檔案

more -2 /etc/pam.d/sshd

auth [success=1 default=ignore] pam_access.so accessfile=/etc/security/access-localhost.conf

auth      required pam_google_authenticator.so no_increment_hotp

#然後在/etc/security/目錄下建立access-localhost.conf檔案

cat /etc/security/access-localhost.conf

# skipped local network for google auth...

+ : ALL : 192.168.11.0/24

+ : ALL : LOCAL

- : ALL : ALL

#最後重啟sshd服務

systemctl restart sshd

相關推薦

Google Authenticator實現Linux使用者登入認證

#安裝開發者工具 yum groupinstall "Development Tools" -y #安裝pam 開發包 yum install pam-devel -y #安裝chrony軟體,chrony 是網路時間協議的(NTP)的另一種實現,因為動態口令再驗證時用到了時間,所以要保持時間上的一致

Linux】使用Google Authenticator 實現ssh登入因素認證

一般來說,使用ssh遠端登入伺服器,只需要輸入賬號和密碼,顯然這種方式不是很安全。為了安全著想,可以使用GoogleAuthenticator(谷歌身份驗證器),以便在賬號和密碼之間再增加一個驗證碼,只有輸入正確的驗證碼之後,再輸入密碼才能登入。這樣就增強了ssh登入的安全性。賬號、驗證碼、密碼三者缺一個都不

google-authenticator ssh動態驗證登入

1 、安裝 yum -y install google-authenticator  注:如果沒有找到,要安裝epel-release源 ,yum -y install epel-release 或者YUM源安裝 yum -y install mercuria

實現Linux和QNX系統啟動

前陣子要測試QNX6.5, 於是拿出一臺機房的機器來, 重新設計了一下分割槽, 給QNX單獨開了一個分割槽, 畢竟QNX不是天天用, 所以沒有必要只裝一個系統. 其他系統我是預留給Ubuntu的. 安裝完QNX並測試了一段時間, 我打算在該機上再裝一個Ubuntu10.10. 本以為Ubuntu的grub

google authenticator 配置動態密碼登入

測試環境 軟體 平臺 版本 說明 CentOS 7 linux CentOS Linux release 7.2.1511 (Core) 測試服務端

安裝google-authenticator實現動態密碼

CentOS 6.5可以直接安裝 1 、安裝 yum install google-authenticator  注:如果沒有找到,要安裝epel-release源 ,yum install epel-release 或者YUM源安裝 yum -y install m

GOLANG編寫google authenticator因子用戶認證體系

watermark tex -a ces 用戶認證 sta fff redmine 分享圖片 通過google authenticator完成對用戶登錄後臺如:redmine zabbix 等的雙因子改造 github地址:https://github.com/liyind

[Linux]私鑰公鑰對認證身份,實現免密登入

版權宣告 一、情景 問題描述: 在使用java 或者 直接在linux系統中登入時,會有提示訊息:是否儲存地址資訊,和輸入密碼。 認證身份有“私鑰和公鑰對”“使用者名稱和密碼”完成兩臺主機之間的身

CentOS 7 使用Google-Authenticator進行多因素認證

linux centos mfa 多因素認證什麽是多因素認證(Multi-Factor Authentication, MFA)? MFA,顧名思義使用多種獨立的驗證機制,對用戶進行身份驗證,只有全部通過時才能授權訪問。MFA的目的是建立一個多層次的防禦,使未經授權的人訪問計算機系統或網絡更加困難。驗證機制可

如何實現linux+windows系統啟動

設定你的計算機根據需要啟動 Windows 10 或 Ubuntu 18.04。 儘管 Linux 是一個有著廣泛的硬體和軟體支援的作業系統,但事實上有時你仍需要使用 Windows,也許是因為有些不能在 Linux 下執行的重要軟體。但幸運地是,雙啟動 Windows 和 Linux 是很簡單的 —— 在

Linux中Redis使用認證密碼登入

Redis預設配置是不需要密碼認證的,也就是說只要連線的Redis伺服器的host和port正確,就可以連線使用。這在安全性上會有一定的問題,所以需要啟用Redis的認證密碼,增加Redis伺服器的安全性。 1. 修改配置檔案 Redis的配置檔案預設在/etc/redi

【實戰-Linux】--搭建CA認證中心實現https取證

環境 CA認證中心服務端:xuegod63.cn IP:192.168.1.63           客戶端:xuegod64.cn IP:192.168.1.64 CA認證中心簡述  CA :CertificateAuthority的

微信公眾號之訂閱號(已認證)實現oauth2授權登入詳細步驟介紹

注意:有朋友說部落格中用的是測試號,請大家注意,希望不要誤導大家。 一: 簡介 通過 微信公眾平臺---->許可權介面 可以得知 微信的訂閱號是沒有授權登入介面的,只有服務號才有該許可權。這點微信公眾平臺在多處反覆強調 最終的事實是:微信訂閱號是可以實現授權登

黃聰:谷歌驗證 (Google Authenticator) 的實現原理是什麼?

開啟Google的登陸二步驗證(即Google Authenticator服務)後用戶登陸時需要輸入額外由手機客戶端生成的一次性密碼。實現Google Authenticator功能需要伺服器端和客戶端的支援。伺服器端負責金鑰的生成、驗證一次性密碼是否正確。客戶端記錄金鑰後生成一次性密碼。目前客戶端有:and

SSO之CAS+LDAP實現單點登入認證

目錄: 概述 詳細步驟 LDAP安裝配置 CAS基礎安裝配置 CAS整合LDAP的配置 [一]、概述 本來主要詳細是介紹CAS和LDAP整合實現單點登入的步驟。 [二]、詳細步驟 安裝配置,新增部分測試資料如下

linux實現ssh自動登入遠端伺服器

前言:開發工作中,由於有時需要通過ssh登入遠端伺服器上去,每次都要輸入密碼,密碼很難記,感覺很麻煩,於是上網搜了通過 ssh自動登入遠端伺服器上去,從而免去了每次都要輸入密碼的困擾。 系統說明:本地機器:Redhat遠端機器:Redhat 步驟: A.本地機器需要做的修

Linux 獲取登入IP

在linux中有時需要獲得登入者的IP,這裡有兩種方法,先使用who am i 獲取登入IP,然後擷取字串: 1、awk擷取,sed替換 who am i | awk '{print $5}' | sed 's/(//g' | sed 's/)//g' 2、cut 擷取 w

CAS+LDAP實現單點登入認證

<groupId>org.jasig.cas</groupId> <artifactId>cas-server-support-ldap</artifactId> <version>${cas.version}</version> <

實現linux的自動登入--命令列模式啟動 .

linux的登入主要是由兩個檔案在控制,/usr/sbin/getty來獲得使用者名稱,並進行檢查使用者名稱是否存在,然後將使用者名稱傳遞給/usr/bin/login來獲取使用者輸入密碼和檢查密碼是否正確. 所以要實現linux的自動登入,就要改動這兩個檔案. 1.getty實現的主要功能是:   1)開

Cas 從https改成http Google瀏覽器無法實現單點登入

最近在研究CAS,版本號為5.2.x。 當我把CAS從https改成http之後遇到了一個很奇怪的現象: 訪問clientA之後正常跳轉到Server,登入之後返回clientA的index頁面,同時在url上附帶了JSESSIONID 再次訪問cilen