默認情況下， SSH已經在遠程計算機之間使用了安全的數據通信，但是如果要在SSH連接中添加一些額外的安全層，則可以添加Google Authenticator （兩因素身份驗證）模塊，該模塊允許您在連接到SSH服務器時輸入隨機的一次性密碼（ TOTP ）驗證代碼。連接時，您必須從智能手機或PC輸入驗證代碼。

Google Authenticator是一個開源模塊，其中包括Google開發(fā)的一次性密碼（ TOTP ）驗證令牌的實現。

它支持幾個移動平臺以及PAM（可插入身份驗證模塊）。這些一次性密碼是使用誓言計劃為開放身份驗證創(chuàng)建的開放標準生成的。

在本文中，我將向您展示如何在基於Redhat和基於Debian的Linux發(fā)行版中為兩因素身份驗證設置和配置SSH ，例如Fedora，Centos Stream，Rocky Linux和Almalinux，Ubuntu，Debian，Debian和Mint。

在Linux中安裝Google Authenticator

打開要設置兩因素身份驗證的計算機，並安裝以下PAM庫以及PAM模塊與Google Authenticator模塊正確合作所需的開發(fā)庫。

在基於RedHat的系統(tǒng)上，使用以下YUM命令安裝“ PAM-Devel ”軟件包。

 ＃YUM安裝Google -authenticator -y

在基於Debian的系統(tǒng)上，使用以下APT命令安裝“ libpam0g-dev ”軟件包。

 $ sudo apt安裝libpam-google-authenticator -y

生成Google身份驗證令牌

運行“ Google-authenticator ”命令後，它將提示您提出一系列問題。

 ＃Google-authenticator

只需在大多數情況下鍵入“ Y ”（是）作為答案。如果出現問題，您可以再次鍵入“ Google-authenticator ”命令以重置設置。

• 您是否希望身份驗證令牌為基於時間（y/n） y

在這個問題之後，您將獲得“秘密密鑰”和“緊急代碼”。在某個地方寫下這些詳細信息，稍後我們將需要“秘密密鑰”來設置Google Authenticator應用程序。

 ＃Google-authenticator

您是否希望身份驗證令牌為基於時間（y/n）y
警告：將以下URL粘貼到您的瀏覽器中，將OTP秘密暴露於Google：
  https://www.google.com/chart?chs=200x200&chld = m|0&cht = qr＆chl = otpauth://totp/root@tecmint?secret=cycret = cycret = cycret = cycret = cycret = cycret = cycret = cycret = cycret = cycret = cycret = cycret = cycret = cycret=cycret =
無法使用libqrencode視覺顯示QR碼進行掃描。
考慮手動將OTP秘密鍵入您的應用程序。
您的新秘密鑰匙是： <strong>CYZF2YF7HFGX55ZEPQYLHOM</strong>
輸入APP（-1至跳過）的代碼： <code>-1</code>代碼確認跳過您的緊急刮擦代碼為： <strong>83714291 53083200 80975623 57217008 77496339</strong>

接下來，遵循設置嚮導，在大多數情況下，如下所示，答案為“ y ”（是）。

您是否要我更新您的“/root/.google_authenticator”文件（y/n） <code>y</code>您是否要禁止對同一身份驗證令牌的多種用途？這將您限制您每30次登錄一次，但是它增加了您注意到甚至防止中間人攻擊（Y/n） <code>y</code>的機會，默認情況下，令牌可以持續(xù)30秒，並且為了補償客戶和服務器之間可能的時間，我們允許在當前時間之前和之後進行超級令牌。如果您遇到時間同步較差的問題，則可以將窗口從其默認尺寸1：30分鐘增加到約4分鐘。如果您要登錄的計算機不適合蠻力登錄嘗試，您是否要這樣做（Y/n） <code>y</code>您可以為身份驗證模塊啟用限制速率。默認情況下，這將攻擊者限制為每30次嘗試不超過3次登錄。您想啟用限速限制（y/n） <code>y</code> 

配置SSH以在Linux中使用Google Authenticator

打開PAM配置文件' /etc/pam.d/sshd '，然後將以下行添加到文件底部。

 auth必需pam_google_authenticator.so nullok
Auth需要PAM_PERMIT.SO

接下來，打開ssh配置文件' /etc/ssh/sshd_config '，然後向下滾動以找到說的行。

 ChallengerSeponSeAthentication編號

將其更改為“是”。因此，它變得如此。

 ChallengerSeponseAthentication是的

最後，重新啟動SSH服務以進行新的更改。

 ＃SystemCtl重新啟動SSHD
或者
$ sudo systemctl重新啟動SSHD

配置Google Authenticator應用程序

在智能手機上啟動Google Authenticator應用程序。按 並選擇“輸入設置密鑰”。如果您沒有此應用程序，則可以在Android/iPhone/BlackBerry設備上下載並安裝Google Authenticator應用程序。

添加您的帳戶“名稱”，然後輸入前面生成的“秘密密鑰”。

它將生成一個一次性密碼（驗證代碼），該密碼將不斷更改手機上的每30秒。

現在，嘗試通過SSH登錄，每當您嘗試通過SSH登錄時，都會使用Google Authenticator代碼（驗證代碼）和密碼提示您。您只有30秒即可輸入此驗證代碼，如果您錯過了該驗證代碼，它將再生一個新的驗證代碼。

登錄為：tecmint
拒絕訪問
使用鍵盤相互作用的身份驗證。
<strong>驗證碼</strong>：
使用鍵盤相互作用的身份驗證。
密碼：
上次登錄：星期二4月23日13:58:29 2022從172.16.25.125
[root@tecmint?]＃

如果您沒有智能手機，也可以使用名為Authenticator的Firefox附加組件進行兩因素身份驗證。

重要的是：兩因素身份驗證可與基於密碼的SSH登錄工作。如果您使用的是任何私有/公共密鑰SSH會話，它將忽略兩因素身份驗證並直接記錄您。

以上是如何在Linux中設置SSH的兩因素身份驗證的詳細內容。更多資訊請關注PHP中文網其他相關文章！