在 Ubuntu 和 Debian 上啟用雙因子身份驗證的三種備選方案

發布時間: 2019-06-18 11:27:43 來源: 互聯網 欄目: LINUX 點擊:

這篇文章主要介紹了在 Ubuntu 和 Debian 上啟用雙因子身份驗證的三種備選方案,文中較詳細的給大家介紹了為 SSH 啟用雙因子驗證的三種方式,需要的朋友可以參考下

如何為你的 SSH 服務器安裝三種不同的雙因子身份驗證方案。

如今,安全比以往更加重要,保護 SSH 服務器是作為系統管理員可以做的最為重要的事情之一。傳統地,這意味著禁用密碼身份驗證而改用 SSH 密鑰。無疑這是你首先應該做的,但這并不意味著 SSH 無法變得更加安全。

雙因子身份驗證就是指需要兩種身份驗證才能登錄。可以是密碼和 SSH 密鑰,也可以是密鑰和第三方服務,比如 Google。這意味著單個驗證方法的泄露不會危及服務器。

以下指南是為 SSH 啟用雙因子驗證的三種方式。

當你修改 SSH 配置時,總是要確保有一個連接到服務器的第二終端。第二終端意味著你可以修復你在 SSH 配置中犯的任何錯誤。打開的終端將一直保持,即便 SSH 服務重啟。

SSH 密鑰和密碼

SSH 支持對登錄要求不止一個身份驗證方法。

/etc/sh/sshd_config 中的 SSH 服務器配置文件中的 AuthenticationMethods 選項中設置了身份驗證方法。

當在 /etc/ssh/sshd_config 中添加下一行時,SSH 需要提交一個 SSH 密鑰,然后提示輸入密碼:

AuthenticationMethods "publickey,password"

如果你想要根據使用情況設置這些方法,那么請使用以下附加配置:

Match User jsmith
    AuthenticationMethods "publickey,password"

當你已經編輯或保存了新的 sshd_config 文件,你應該通過運行以下程序來確保你沒有犯任何錯誤:

sshd -t

任何導致 SSH 不能啟動的語法或其他錯誤都將在這里標記出來。當 ssh-t 運行時沒有錯誤,使用 systemctl 重新啟動

SSH:

systemctl restart sshd

現在,你可以使用新終端登錄,以核實你會被提示輸入密碼并需要 SSH 密鑰。如果你用 ssh-v,例如:

ssh -v [email protected]

你將可以看到登錄的每一步。

注意,如果你確實將密碼設置成必需的身份驗證方法,你要確保將 PasswordAuthentication 選項設置成 yes。

使用 Google Authenticator 的 SSH

Google 在 Google 自己的產品上使用的雙因子身份驗證系統可以集成到你的 SSH 服務器中。如果你已經使用了Google

Authenticator,那么此方法將非常方便。

雖然 libpam-google-authenticator 是由 Google 編寫的,但它是開源的。此外,Google Authenticator 是由 Google 編寫的,但并不需要 Google 帳戶才能工作。多虧了 Sitaram Chamarty 的貢獻。

如果你還沒有在手機上安裝和配置 Google Authenticator,請參閱 這里的說明。

首先,我們需要在服務器上安裝 Google Authenticatior 安裝包。以下命令將更新你的系統并安裝所需的軟件包:

apt-get update
apt-get upgrade
apt-get install libpam-google-authenticator

現在,我們需要在你的手機上使用 Google Authenticatior APP 注冊服務器。這是通過首先運行我們剛剛安裝的程序完成的:

google-authenticator

運行這個程序時,會問到幾個問題。你應該以適合你的設置的方式回答,然而,最安全的選項是對每個問題回答 y。如果以后需要更改這些選項,您可以簡單地重新運行 google-authenticator 并選擇不同的選項。

當你運行 google-authenticator 時,一個二維碼會被打印到終端上,有些代碼看起來像這樣:

Your new secret key is: VMFY27TYDFRDNKFY
Your verification code is 259652
Your emergency scratch codes are:
  96915246
  70222983
  31822707
  25181286
  28919992

你應該將所有這些代碼記錄到一個像密碼管理器一樣安全的位置。“scratch codes” 是單一的使用代碼,即使你的手機不可用,它總是允許你訪問。

要將服務器注冊到 Authenticator APP 中,只需打開應用程序并點擊右下角的紅色加號即可。然后選擇掃描條碼選項,掃描打印到終端的二維碼。你的服務器和應用程序現在連接。

回到服務器上,我們現在需要編輯用于 SSH 的 PAM (可插入身份驗證模塊),以便它使用我們剛剛安裝的身份驗證器安裝包。PAM 是獨立系統,負責 Linux 服務器上的大多數身份驗證。

需要修改的 SSH PAM 文件位于 /etc/pam.d/sshd ,用以下命令編輯:

nano /etc/pam.d/sshd

  在文件頂部添加以下行:

auth required pam_google_authenticator.so

此外,我們還需要注釋掉一行,這樣 PAM 就不會提示輸入密碼。改變這行:

# Standard Un*x authentication.
@include common-auth

為如下:

# Standard Un*x authentication.
# @include common-auth
``` 

接下來,我們需要編輯 SSH 服務器配置文件:

nano /etc/ssh/sshd_config “`

改變這一行:

ChallengeResponseAuthentication no

為:

ChallengeResponseAuthentication yes

  接下來,添加以下代碼行來啟用兩個身份驗證方案:SSH 密鑰和谷歌認證器(鍵盤交互):

AuthenticationMethods "publickey,keyboard-interactive"

  在重新加載 SSH 服務器之前,最好檢查一下在配置中沒有出現任何錯誤。執行以下命令:

sshd -t

如果沒有標識出任何錯誤,用新的配置重載 SSH:

systemctl reload sshd.service

  現在一切都應該開始工作了。現在,當你登錄到你的服務器時,你將需要使用 SSH 密鑰,并且當你被提示輸入:

Verification code:

打開 Authenticator APP 并輸入為您的服務器顯示的 6 位代碼。

Authy

Authy 是一個雙重身份驗證服務,與 Google 一樣,它提供基于時間的代碼。然而,Authy 不需要手機,因為它提供桌面和平板客戶端。它們還支持離線身份驗證,不需要 Google 帳戶。

你需要從應用程序商店安裝 Authy 應用程序,或 Authy 下載頁面所鏈接的桌面客戶端。

安裝完應用程序后,需要在服務器上使用 API 密鑰。這個過程需要幾個步驟:

  1. 在這里注冊一個賬戶。
  2. 向下滾動到 “Authy” 部分。
  3. 在帳戶上啟用雙因子認證(2FA)。
  4. 回 “Authy” 部分。
  5. 為你的服務器創建一個新的應用程序。
  6. 從新應用程序的 “General Settings” 頁面頂部獲取 API 密鑰。你需要 “PRODUCTION API KEY”旁邊的眼睛符號來顯示密鑰。如圖:

在某個安全的地方記下 API 密鑰。

現在,回到服務器,以 root 身份運行以下命令:

curl -O 'https://raw.githubusercontent.com/authy/authy-ssh/master/authy-ssh'
bash authy-ssh install /usr/local/bin

  當提示時輸入 API 鍵。如果輸入錯誤,你始終可以編輯 /usr/local/bin/authy-ssh 再添加一次。

Authy 現已安裝。但是,在為用戶啟用它之前,它不會開始工作。啟用 Authy 的命令有以下形式:

/usr/local/bin/authy-ssh enable <system-user> <your-email> <your-phone-country-code> <your-phone-number>

  root 登錄的一些示例細節:

/usr/local/bin/authy-ssh enable root [email protected] 44 20822536476

如果一切順利,你會看到:

User was registered

現在可以通過運行以下命令來測試 Authy:

authy-ssh test

最后,重載 SSH 實現新的配置:

systemctl reload sshd.service

  Authy 現在正在工作,SSH 需要它才能登錄。

現在,當你登錄時,你將看到以下提示:

Authy Token (type 'sms' to request a SMS token):

  你可以輸入手機或桌面客戶端的 Authy APP 上的代碼。或者你可以輸入 sms, Authy 會給你發送一條帶有登錄碼的短信。

可以通過運行以下命令卸載 Authy:

/usr/local/bin/authy-ssh uninstall

總結

以上所述是小編給大家介紹的在 Ubuntu 和 Debian 上啟用雙因子身份驗證的三種備選方案,希望對大家有所幫助,如果大家有任何疑問請給我留言,小編會及時回復大家的。在此也非常感謝大家對我們網站的支持!

本文標題: 在 Ubuntu 和 Debian 上啟用雙因子身份驗證的三種備選方案
本文地址: http://www.leskzw.tw/os/linux/243784.html

如果認為本文對您有所幫助請贊助本站

支付寶掃一掃贊助微信掃一掃贊助

  • 支付寶掃一掃贊助
  • 微信掃一掃贊助
  • 支付寶先領紅包再贊助
    聲明:凡注明"本站原創"的所有文字圖片等資料,版權均屬編程客棧所有,歡迎轉載,但務請注明出處。
    Linux采用雙網卡bond、起子接口的方式怎么禁用 Ubuntu 服務器中終端歡迎消息中的廣告
    Top 广东好彩1中奖规则