在 Ubuntu 和 Debian 上启用双因子身份验证的三种备选方案

如何为你的 SSH 服务器安装三种不同的双因子身份验证方案。

如今,安全比以往更加重要,保护 SSH 服务器是作为系统管理员可以做的最为重要的事情之一。传统地,这意味着禁用密码身份验证而改用 SSH 密钥。无疑这是你首先应该做的,但这并不意味着 SSH 无法变得更加安全。

双因子身份验证就是指需要两种身份验证才能登录。可以是密码和 SSH 密钥,也可以是密钥和第三方服务,比如 Google。这意味着单个验证方法的泄露不会危及服务器。

以下指南是为 SSH 启用双因子验证的三种方式。

当你修改 SSH 配置时,总是要确保有一个连接到服务器的第二终端。第二终端意味着你可以修复你在 SSH 配置中犯的任何错误。打开的终端将一直保持,即便 SSH 服务重启。

SSH 密钥和密码

SSH 支持对登录要求不止一个身份验证方法。

/etc/sh/sshd_config 中的 SSH 服务器配置文件中的 AuthenticationMethods 选项中设置了身份验证方法。

当在 /etc/ssh/sshd_config 中添加下一行时,SSH 需要提交一个 SSH 密钥,然后提示输入密码:

AuthenticationMethods "publickey,password"

如果你想要根据使用情况设置这些方法,那么请使用以下附加配置:

Match User jsmith
    AuthenticationMethods "publickey,password"

当你已经编辑或保存了新的 sshd_config 文件,你应该通过运行以下程序来确保你没有犯任何错误:

sshd -t

任何导致 SSH 不能启动的语法或其他错误都将在这里标记出来。当 ssh-t 运行时没有错误,使用 systemctl 重新启动

SSH:

systemctl restart sshd

现在,你可以使用新终端登录,以核实你会被提示输入密码并需要 SSH 密钥。如果你用 ssh-v,例如:

ssh -v jsmith@example.com

你将可以看到登录的每一步。

注意,如果你确实将密码设置成必需的身份验证方法,你要确保将 PasswordAuthentication 选项设置成 yes。

使用 Google Authenticator 的 SSH

Google 在 Google 自己的产品上使用的双因子身份验证系统可以集成到你的 SSH 服务器中。如果你已经使用了Google

Authenticator,那么此方法将非常方便。

虽然 libpam-google-authenticator 是由 Google 编写的,但它是开源的。此外,Google Authenticator 是由 Google 编写的,但并不需要 Google 帐户才能工作。多亏了 Sitaram Chamarty 的贡献

如果你还没有在手机上安装和配置 Google Authenticator,请参阅 这里的说明。

首先,我们需要在服务器上安装 Google Authenticatior 安装包。以下命令将更新你的系统并安装所需的软件包:

apt-get update
apt-get upgrade
apt-get install libpam-google-authenticator

现在,我们需要在你的手机上使用 Google Authenticatior APP 注册服务器。这是通过首先运行我们刚刚安装的程序完成的:

google-authenticator

运行这个程序时,会问到几个问题。你应该以适合你的设置的方式回答,然而,最安全的选项是对每个问题回答 y。如果以后需要更改这些选项,您可以简单地重新运行 google-authenticator 并选择不同的选项。

当你运行 google-authenticator 时,一个二维码会被打印到终端上,有些代码看起来像这样:

Your new secret key is: VMFY27TYDFRDNKFY
Your verification code is 259652
Your emergency scratch codes are:
  96915246
  70222983
  31822707
  25181286
  28919992

你应该将所有这些代码记录到一个像密码管理器一样安全的位置。“scratch codes” 是单一的使用代码,即使你的手机不可用,它总是允许你访问。

要将服务器注册到 Authenticator APP 中,只需打开应用程序并点击右下角的红色加号即可。然后选择扫描条码选项,扫描打印到终端的二维码。你的服务器和应用程序现在连接。

回到服务器上,我们现在需要编辑用于 SSH 的 PAM (可插入身份验证模块),以便它使用我们刚刚安装的身份验证器安装包。PAM 是独立系统,负责 Linux 服务器上的大多数身份验证。

需要修改的 SSH PAM 文件位于 /etc/pam.d/sshd ,用以下命令编辑:

nano /etc/pam.d/sshd

在文件顶部添加以下行:

auth required pam_google_authenticator.so

此外,我们还需要注释掉一行,这样 PAM 就不会提示输入密码。改变这行:

# Standard Un*x authentication.
@include common-auth

为如下:

# Standard Un*x authentication.
# @include common-auth
``` 

接下来,我们需要编辑 SSH 服务器配置文件:

nano /etc/ssh/sshd_config “`

改变这一行:

ChallengeResponseAuthentication no

为:

ChallengeResponseAuthentication yes

接下来,添加以下代码行来启用两个身份验证方案:SSH 密钥和谷歌认证器(键盘交互):

AuthenticationMethods "publickey,keyboard-interactive"

在重新加载 SSH 服务器之前,最好检查一下在配置中没有出现任何错误。执行以下命令:

sshd -t

如果没有标识出任何错误,用新的配置重载 SSH:

systemctl reload sshd.service

现在一切都应该开始工作了。现在,当你登录到你的服务器时,你将需要使用 SSH 密钥,并且当你被提示输入:

Verification code:

打开 Authenticator APP 并输入为您的服务器显示的 6 位代码。

Authy

Authy 是一个双重身份验证服务,与 Google 一样,它提供基于时间的代码。然而,Authy 不需要手机,因为它提供桌面和平板客户端。它们还支持离线身份验证,不需要 Google 帐户。

你需要从应用程序商店安装 Authy 应用程序,或 Authy 下载页面所链接的桌面客户端。

安装完应用程序后,需要在服务器上使用 API 密钥。这个过程需要几个步骤:

  1. 在这里注册一个账户。
  2. 向下滚动到 “Authy” 部分。
  3. 在帐户上启用双因子认证(2FA)。
  4. 回 “Authy” 部分。
  5. 为你的服务器创建一个新的应用程序。
  6. 从新应用程序的 “General Settings” 页面顶部获取 API 密钥。你需要 “PRODUCTION API KEY”旁边的眼睛符号来显示密钥。如图:

在某个安全的地方记下 API 密钥。

现在,回到服务器,以 root 身份运行以下命令:

curl -O 'https://raw.githubusercontent.com/authy/authy-ssh/master/authy-ssh'
bash authy-ssh install /usr/local/bin

当提示时输入 API 键。如果输入错误,你始终可以编辑 /usr/local/bin/authy-ssh 再添加一次。

Authy 现已安装。但是,在为用户启用它之前,它不会开始工作。启用 Authy 的命令有以下形式:

/usr/local/bin/authy-ssh enable <system-user> <your-email> <your-phone-country-code> <your-phone-number>

root 登录的一些示例细节:

/usr/local/bin/authy-ssh enable root john@example.com 44 20822536476

如果一切顺利,你会看到:

User was registered

现在可以通过运行以下命令来测试 Authy:

authy-ssh test

最后,重载 SSH 实现新的配置:

systemctl reload sshd.service

Authy 现在正在工作,SSH 需要它才能登录。

现在,当你登录时,你将看到以下提示:

Authy Token (type 'sms' to request a SMS token):

你可以输入手机或桌面客户端的 Authy APP 上的代码。或者你可以输入 sms, Authy 会给你发送一条带有登录码的短信。

可以通过运行以下命令卸载 Authy:

/usr/local/bin/authy-ssh uninstall

总结

以上所述是小编给大家介绍的在 Ubuntu 和 Debian 上启用双因子身份验证的三种备选方案,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对我们网站的支持!

(0)

相关推荐

  • 在 Ubuntu 和 Debian 上启用双因子身份验证的三种备选方案

    如何为你的 SSH 服务器安装三种不同的双因子身份验证方案. 如今,安全比以往更加重要,保护 SSH 服务器是作为系统管理员可以做的最为重要的事情之一.传统地,这意味着禁用密码身份验证而改用 SSH 密钥.无疑这是你首先应该做的,但这并不意味着 SSH 无法变得更加安全. 双因子身份验证就是指需要两种身份验证才能登录.可以是密码和 SSH 密钥,也可以是密钥和第三方服务,比如 Google.这意味着单个验证方法的泄露不会危及服务器. 以下指南是为 SSH 启用双因子验证的三种方式. 当你修改 S

  • 在Ubuntu或Debian系统的服务器上卸载MySQL的方法

    对于有的vps,系统默认安装了mysql.我们需要从我们的服务器.vps上卸载(移除)默认的mysql.那么如何(怎样)在ubuntu\Debian上卸载mysql? 通常情况下,下列mysql软件包会被安装到 Debian .Ubuntu中: mysql-client - The latest version of MySQL database client(最新版的mysql数据库客户端). mysql-server - The latest version of MySQL databas

  • 在 Ubuntu Linux 桌面上安装 spotify在线听音乐的步骤

    如何在 Ubuntu Linux 桌面上安装 spotify 来在线听音乐? Spotify 是一个可让你访问大量歌曲的数字音乐流服务.你可以免费收听或者购买订阅,可以创建播放列表.订阅用户可以免广告收听音乐,你会得到更好的音质.本教程展示如何使用在 Ubuntu.Mint.Debian.Fedora.Arch 和其他更多发行版上的 snap 包管理器安装 Spotify. 在 Linux 上安装 spotify 在 Linux 上安装 spotify 的步骤如下: 安装 snapd 打开 sn

  • 详解如何在Ubuntu 16.04上增加Swap分区

    前言 提高服务器响应速度和防止应用程序内存不足错误的最简单方法之一是添加一些交换空间. 在本指南中,我们将介绍如何将交换文件添加到Ubuntu 16.04服务器. 但是,请注意: 尽管swap区通常建议用于使用传统旋转硬盘驱动器的系统,但使用与SSD交换可能会导致随着时间的推移硬件退化问题. 由于这个考虑,我们不建议在DigitalOcean或任何其他使用SSD存储的供应商上启用swap分区. 这样做可能会影响到您和您的邻居的底层硬件的可靠性. 本指南仅供可能在其他地方有使用旋转磁盘系统的用户参

  • 在Ubuntu 18.04上添加交换空间的方法

    https://www.digitalocean.com/... 如何在Ubuntu 18.04上添加交换空间 Brian Boucheron 本教程的先前版本由Justin Ellingwood编写 介绍 防范应用程序内存不足错误的最简单方法之一是为服务器添加一些交换空间.在本指南中,我们将介绍如何将交换文件添加到 Ubuntu 18.04服务器. 警告 :虽然通常建议对使用传统旋转硬盘驱动器的系统进行交换,但使用SSD交换可能会导致硬件随着时间的推移而出现问题.出于这种考虑,我们不建议在任何

  • 在Ubuntu 16.04上用Docker Swarm和DigitalOcean创建一个Docker容器集群的方法

    介绍 Docker Swarm是用于部署Docker主机集群的Docker本地解决方案.您可以使用它来快速部署在本地计算机或受支持的云平台上运行的Docker主机集群. 在Docker 1.12之前,设置和部署Docker主机集群需要使用外部键值存储(如etcd或Consul)来进行服务发现.但是,使用Docker 1.12,不再需要外部发现服务,因为Docker提供了一个内置的键值存储,可以开箱即用. 在本教程中,您将了解如何使用Docker 1.12上的Swarm功能部署一组Docker机器

  • 在IIS上启用Gzip压缩 (HTTP压缩)第1/3页

    一.摘要        本文总结了如何为使用IIS托管的网站启用Gzip压缩, 从而减少网页网络传输大小, 提高用户显示页面的速度. 二.前言.        本文的知识点是从互联网收集整理, 主要来源于中文wiki. 使用YSlow检测网站启用了哪些优化时, Gzip是十分关键的一项. 启动Gip压缩将立竿见影的减少页面的网络传输大小. 三.HTTP压缩概述        HTTP压缩是在Web服务器和浏览器间传输压缩文本内容的方法.HTTP压缩采用通用的压缩算法如gzip等压缩HTML.Ja

  • Linux(Ubuntu 18.04)上安装Anaconda步骤详解

    Anaconda是最受欢迎的python数据科学和机器学习平台,用于大规模数据处理,预测分析和科学计算.Anaconda发行版附带了1,000多个数据包,conda命令行工具和Anaconda Navigator的桌面图形用户界面. 本教程将指导您完成在Ubuntu 18.04上下载和安装Anaconda Python Distribution. 下载Anaconda 在撰写本文时,Anaconda的最新稳定版本是5.3版本. 请选择 64-Bit (x86) Installer 进行下载链接:

  • 在Ubuntu 18.04上安装PHP 7.3 7.2和7.0的方法

    PHP 7.3是PHP的最新版本,如果你想装指定版本的PHP,这篇文章对你有很大的帮助.本文将帮助你在Ubuntu 18.04,16.04上通过PPA的方式安装PHP 7.3 7.2和7.0. 安装PHP 7.3 通过下列命令安装PHP 7.3 $ sudo apt-get install software-properties-common $ sudo add-apt-repository ppa:ondrej/php $ sudo apt-get update $ sudo apt-get

  • 解决Ubuntu 16.04.6 + Win10 双系统时间错误且不一致问题

    1.在Win系统下,按Win键 + R,输入regedit 运行 2.打开注册表,按照路径查找 计算机 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation 可以直接粘贴路径 3.右击新建一个QWORD值,64位系统就选64位(也可以32位),名称为 RealTimeIsUniversal ,区分大小写, 双击编辑它,数值数据改为1,基数是16进制,确定. 4.重启电脑,按F2进入BIOS, 修改bios

随机推荐