默認(rèn)情況下， SSH已經(jīng)在遠(yuǎn)程計(jì)算機(jī)之間使用了安全的數(shù)據(jù)通信，但是如果要在SSH連接中添加一些額外的安全層，則可以添加Google Authenticator （兩因素身份驗(yàn)證）模塊，該模塊允許您在連接到SSH服務(wù)器時(shí)輸入隨機(jī)的一次性密碼（ TOTP ）驗(yàn)證代碼。連接時(shí)，您必須從智能手機(jī)或PC輸入驗(yàn)證代碼。

Google Authenticator是一個(gè)開源模塊，其中包括Google開發(fā)的一次性密碼（ TOTP ）驗(yàn)證令牌的實(shí)現(xiàn)。

它支持幾個(gè)移動(dòng)平臺(tái)以及PAM（可插入身份驗(yàn)證模塊）。這些一次性密碼是使用誓言計(jì)劃為開放身份驗(yàn)證創(chuàng)建的開放標(biāo)準(zhǔn)生成的。

在本文中，我將向您展示如何在基于Redhat和基于Debian的Linux發(fā)行版中為兩因素身份驗(yàn)證設(shè)置和配置SSH ，例如Fedora，Centos Stream，Rocky Linux和Almalinux，Ubuntu，Debian，Debian和Mint。

在Linux中安裝Google Authenticator

打開要設(shè)置兩因素身份驗(yàn)證的計(jì)算機(jī)，并安裝以下PAM庫以及PAM模塊與Google Authenticator模塊正確合作所需的開發(fā)庫。

在基于RedHat的系統(tǒng)上，使用以下YUM命令安裝“ PAM-Devel ”軟件包。

 ＃YUM安裝Google -authenticator -y

在基于Debian的系統(tǒng)上，使用以下APT命令安裝“ libpam0g-dev ”軟件包。

 $ sudo apt安裝libpam-google-authenticator -y

生成Google身份驗(yàn)證令牌

運(yùn)行“ Google-authenticator ”命令后，它將提示您提出一系列問題。

 ＃Google-authenticator

只需在大多數(shù)情況下鍵入“ Y ”（是）作為答案。如果出現(xiàn)問題，您可以再次鍵入“ Google-authenticator ”命令以重置設(shè)置。

• 您是否希望身份驗(yàn)證令牌為基于時(shí)間（y/n） y

在這個(gè)問題之后，您將獲得“秘密密鑰”和“緊急代碼”。在某個(gè)地方寫下這些詳細(xì)信息，稍后我們將需要“秘密密鑰”來設(shè)置Google Authenticator應(yīng)用程序。

 ＃Google-authenticator

您是否希望身份驗(yàn)證令牌為基于時(shí)間（y/n）y
警告：將以下URL粘貼到您的瀏覽器中，將OTP秘密暴露于Google：
  https://www.google.com/chart?chs=200x200&chld = m|0&cht = qr＆chl = otpauth://totp/root@tecmint?secret=cycret = cycret = cycret = cycret = cycret = cycret = cycret = cycret = cycret = cycret = cycret = cycret = cycret = cycret=cycret =
無法使用libqrencode視覺顯示QR碼進(jìn)行掃描。
考慮手動(dòng)將OTP秘密鍵入您的應(yīng)用程序。
您的新秘密鑰匙是： <strong>CYZF2YF7HFGX55ZEPQYLHOM</strong>
輸入APP（-1至跳過）的代碼： <code>-1</code>代碼確認(rèn)跳過您的緊急刮擦代碼為： <strong>83714291 53083200 80975623 57217008 77496339</strong>

接下來，遵循設(shè)置向?qū)?，在大多?shù)情況下，如下所示，答案為“ y ”（是）。

您是否要我更新您的“/root/.google_authenticator”文件（y/n） <code>y</code>您是否要禁止對(duì)同一身份驗(yàn)證令牌的多種用途？這將您限制您每30次登錄一次，但是它增加了您注意到甚至防止中間人攻擊（Y/n） <code>y</code>的機(jī)會(huì)，默認(rèn)情況下，令牌可以持續(xù)30秒，并且為了補(bǔ)償客戶和服務(wù)器之間可能的時(shí)間，我們?cè)试S在當(dāng)前時(shí)間之前和之后進(jìn)行超級(jí)令牌。如果您遇到時(shí)間同步較差的問題，則可以將窗口從其默認(rèn)尺寸1：30分鐘增加到約4分鐘。如果您要登錄的計(jì)算機(jī)不適合蠻力登錄嘗試，您是否要這樣做（Y/n） <code>y</code>您可以為身份驗(yàn)證模塊啟用限制速率。默認(rèn)情況下，這將攻擊者限制為每30次嘗試不超過3次登錄。您想啟用限速限制（y/n） <code>y</code> 

配置SSH以在Linux中使用Google Authenticator

打開PAM配置文件' /etc/pam.d/sshd '，然后將以下行添加到文件底部。

 auth必需pam_google_authenticator.so nullok
Auth需要PAM_PERMIT.SO

接下來，打開ssh配置文件' /etc/ssh/sshd_config '，然后向下滾動(dòng)以找到說的行。

 ChallengerSeponSeAthentication編號(hào)

將其更改為“是”。因此，它變得如此。

 ChallengerSeponseAthentication是的

最后，重新啟動(dòng)SSH服務(wù)以進(jìn)行新的更改。

 ＃SystemCtl重新啟動(dòng)SSHD
或者
$ sudo systemctl重新啟動(dòng)SSHD

配置Google Authenticator應(yīng)用程序

在智能手機(jī)上啟動(dòng)Google Authenticator應(yīng)用程序。按 并選擇“輸入設(shè)置密鑰”。如果您沒有此應(yīng)用程序，則可以在Android/iPhone/BlackBerry設(shè)備上下載并安裝Google Authenticator應(yīng)用程序。

添加您的帳戶“名稱”，然后輸入前面生成的“秘密密鑰”。

它將生成一個(gè)一次性密碼（驗(yàn)證代碼），該密碼將不斷更改手機(jī)上的每30秒。

現(xiàn)在，嘗試通過SSH登錄，每當(dāng)您嘗試通過SSH登錄時(shí)，都會(huì)使用Google Authenticator代碼（驗(yàn)證代碼）和密碼提示您。您只有30秒即可輸入此驗(yàn)證代碼，如果您錯(cuò)過了該驗(yàn)證代碼，它將再生一個(gè)新的驗(yàn)證代碼。

登錄為：tecmint
拒絕訪問
使用鍵盤相互作用的身份驗(yàn)證。
<strong>驗(yàn)證碼</strong>：
使用鍵盤相互作用的身份驗(yàn)證。
密碼：
上次登錄：星期二4月23日13:58:29 2022從172.16.25.125
[root@tecmint?]＃

如果您沒有智能手機(jī)，也可以使用名為Authenticator的Firefox附加組件進(jìn)行兩因素身份驗(yàn)證。

重要的是：兩因素身份驗(yàn)證可與基于密碼的SSH登錄工作。如果您使用的是任何私有/公共密鑰SSH會(huì)話，它將忽略兩因素身份驗(yàn)證并直接記錄您。

以上是如何在Linux中設(shè)置SSH的兩因素身份驗(yàn)證的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！