Google Authenticator实现Linux用户登录双认证

456次阅读

没有评论

共计 2069 个字符，预计需要花费 6 分钟才能阅读完成。

系统：CentOS 7.5 X64

# 安装开发者工具

yum groupinstall “Development Tools” -y

# 安装 pam 开发包

yum install pam-devel -y

# 安装 chrony 软件,chrony 是网络时间协议的（NTP）的另一种实现, 因为动态口令再验证时用到了时间，所以要保持时间上的一致性

yum install chrony -y

vi /etc/chrony.conf

…

server 2.cn.pool.ntp.org iburst

systemctl restart chronyd

chronyc sources

# 如果时区不对的话，可以拷贝你当前地区所在地的时区到系统运行的时区

#cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime

### 安装 google-authenticator

cd /opt

git clone https://github.com/google/google-authenticator-libpam.git

cd google-authenticator-libpam/

./bootstrap.sh

./configure

make && make install

ln -s /usr/local/lib/security/pam_google_authenticator.so /usr/lib64/security/pam_google_authenticator.so

# 配置系统 PAM 模块，修改 sshd 支持谷歌的认证, 在 sshd 文件的第一行

vi /etc/pam.d/sshd

auth required pam_google_authenticator.so

vi /etc/ssh/sshd_config

…

ChallengeResponseAuthentication yes

# 安装二维码生成工具，这步也可以省略，如果不装的话，因为下一步生成的二维码就会成一个链接，

# 到时将链接复制到你的浏览器中，也是可以出现二维码的，到时利用智能手机打开 google author 进行扫描。

cd /opt

yum -y install libpng libpng-devel

wget -c https://fukuchi.org/works/qrencode/qrencode-4.0.2.tar.bz2

tar jxvf qrencode-4.0.2.tar.bz2

cd qrencode-4.0.2

./configure

make && make install

# 运行 google-authenticator 命令，它将会在当前登陆用户的家目录中生成一个新的密钥

cd ~

google-authenticator

#Your emergency scratch codes are:

# 98627355

# 45083255

# 48589468

# 91373042

# 22191496

# 上述共需回答 5 个 y

# 第 1 个：问你是否想做一个基于时间的令×××y

# 第 2 个：是否更新你的 google 认证文件，由于第一次设置，所以一定选 y

# 第 3 个：是否禁止口令多用，这里选择 y，禁止它，以防止中间人欺骗。y

# 第 4 个：默认情况，1 个口令的有效期是 30s，这里是为了防止主机时间和口令客户端时间不一致，设置的误差，可以选择 y，也可选 n，看要求严谨程度 y

# 第 5 个：是否打开尝试次数限制，默认情况，30s 内不得超过 3 次登陆测试，防止别人暴力破解。y

# 并且上面这些设置将被存储在用户的 /.google_authenticator 文件中，emergency scratch codes 中的 5 个代码是紧急代码，务必牢记，

# 这是在你的动态口令无法使用的情况下使用的，记住，用一个失效一个。后期可以登陆上去后，重新生成！

# 此时打开手机上的 Google Authenticator 应用扫描二维码

# 最后重启 sshd 服务

systemctl restart sshd

###— secureCRT 设置 keyboard interactive 需要放在第一位 —###

Google Authenticator 实现 Linux 用户登录双认证

### 解决内网主机跳过二次认证

# 编辑 pam.d 下的 sshd 文件，在第一行增加内容，主要是指定允许的主机信息文件

more -2 /etc/pam.d/sshd

auth [success=1 default=ignore] pam_access.so accessfile=/etc/security/access-localhost.conf

auth required pam_google_authenticator.so no_increment_hotp

# 然后在 /etc/security/ 目录下创建 access-localhost.conf 文件

cat /etc/security/access-localhost.conf

# skipped local network for google auth…

+ : ALL : 192.168.11.0/24

+ : ALL : LOCAL

– : ALL : ALL

# 最后重启 sshd 服务

systemctl restart sshd

：

正文完

星哥玩云-微信公众号

发表至：服务器应用

2022年1月21日

0

转载说明：除特殊说明外本站文章皆由CC-4.0协议发布，转载请注明出处。

Linux入门教程：CDN加速

Linux下rsync 安装与配置

CentOS7部署ElasticSearch 2.1.1集群

Linux搭建NodeBB论坛指南-安装篇

通过 CLI 管理 Jenkins Server

Google Authenticator实现Linux用户登录双认证

星哥带你玩飞牛NAS-6：抖音视频同步工具，视频下载自动下载保存

星哥带你玩飞牛NAS-3：安装飞牛NAS后的很有必要的操作

我把用了20年的360安全卫士卸载了

再见zabbix！轻量级自建服务器监控神器在Linux 的完整部署指南

飞牛NAS中安装Navidrome音乐文件中文标签乱码问题解决、安装FntermX终端

星哥带你玩飞牛NAS-8：有了NAS你可以干什么？软件汇总篇

终于收到了以女儿为原型打印的3D玩偶了

再见zabbix！轻量级自建服务器监控神器在Linux 的完整部署指南

手把手教你，购买云服务器并且安装宝塔面板

240 元左右！五盘位 NAS主机，7 代U硬解4K稳如狗，拓展性碾压同价位

免费图片视频管理工具让灵感库告别混乱

告别Notion焦虑！这款全平台开源加密笔记神器，让你的隐私真正“上锁”

你的云服务器到底有多强？宝塔跑分告诉你

每年0.99刀，拿下你的第一个顶级域名，详细注册使用

手把手教你，购买云服务器并且安装宝塔面板

星哥带你玩飞牛NAS硬件 01：捡垃圾的最爱双盘，暴风二期矿渣为何成不老神话？

星哥玩云

星哥带你玩飞牛NAS-6：抖音视频同步工具，视频下载自动下载保存

星哥带你玩飞牛NAS-3：安装飞牛NAS后的很有必要的操作

我把用了20年的360安全卫士卸载了

再见zabbix！轻量级自建服务器监控神器在Linux 的完整部署指南

飞牛NAS中安装Navidrome音乐文件中文标签乱码问题解决、安装FntermX终端

我用AI做了一个1978年至2019年中国大陆企业注册的查询网站

星哥带你玩飞牛NAS-6：抖音视频同步工具，视频下载自动下载保存

安装Black群晖DSM7.2系统安装教程（在Vmware虚拟机中、实体机均可）!

星哥带你玩飞牛NAS-14：解锁公网自由！Lucky功能工具安装使用保姆级教程

Prometheus：监控系统的部署与指标收集

免费图片视频管理工具让灵感库告别混乱

300元就能买到的”小钢炮”？惠普7L四盘位小主机解析

零成本上线！用 Hugging Face免费服务器+Docker 快速部署HertzBeat 监控平台

浏览器自动化工具！开源 AI 浏览器助手让你效率翻倍

星哥带你玩飞牛NAS-12：开源笔记的进化之路，效率玩家的新选择

还在找免费服务器？无广告免费主机，新手也能轻松上手！