首页 生活随笔

最近在研究系统加固,发现个非常方便的双因素验证应用google-authenticator

双因素验证是啥东西?

双因素认证是一种采用时间同步技术的系统,采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时动态密码卡与服务器分别根据同样的密钥,同样的随机参数(时间、事件)和同样的算法计算了认证的动态密码,从而确保密码的一致性,从而实现了用户的认证。因每次认证时的随机参数不同,所以每次产生的动态密码也不同。由于每次计算时参数的随机性保证了每次密码的不可预测性,从而在最基本的密码认证这一环节保证了系统的安全性。解决因口令欺诈而导致的重大损失,防止恶意入侵者或人为破坏,解决由口令泄密导致的入侵问题。

首先更新下时间

date -s 21:03:00
hwclock -w

加个源

rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm

然后安装google-authenticator

yum install google-authenticator -y

开启配置向导

google-authenticator

手机扫一扫
QQ截图20210712211722.jpg
修改ssh配置

sed -i "/auth[ ]*substack[ ]*pass*/a\auth required pam_google_authenticator.so" /etc/pam.d/sshd
sed -i -r 's#(ChallengeResponseAuthentication) no#\1 yes#g' /etc/ssh/sshd_config

重启ssh服务

service sshd restart

不要关ssh,另开一个窗口测试
输入密码和动态口令登录
QQ截图20210712211802.jpg
手机google-authenticator开启Face ID
IMG_6856.PNG

另:为了避免服务器时间出错导致无法通过google-authenticator登录,可以在服务器上再装个cockpit备份(做限源),ssh无法访问时可通过网页恢复。




文章评论