转载自:https://mp.weixin.qq.com/s/ssuhFbfaHxxzGmLg6Y2MjA

目前来说,二次验证(这里就不做过多解释了)是比较常用的安全手段,通过设置二次验证(谷歌或其他工具),就可以有效的避免账户密码的泄露导致的安全问题。因为,每次登陆前都需要获取一次性验证码,如果没有验证码的话就无法成功登陆。

1、安装 PAM 模块

# 时间与客户端进行校验

$ ntpdate pool.ntp.org

# Ubuntu

$ sudo apt install -y libpam-google-authenticator

# CentOS7

$ yum install -y epel-release

$ yum install -y google-authenticator

2、生成二次验证代码

# 生成验证码, 哪个账号需要动态验证码,请切换到该账号下操作

# -t: 使用 TOTP 验证

# -f: 将配置保存到 ~/.google_authenticator 文件里面

# -d: 不允许重复使用以前使用的令牌

# -w 3: 使用令牌进行身份验证以进行时钟偏移

# -e 10: 生成 10 个紧急备用代码

# -r 3 -R 30: 限速 - 每 30 秒允许 3 次登录

$ google-authenticator -t -f -d -w 3 -e 10 -r 3 -R 30

Warning: pasting the following URL into your browser exposes the OTP secret to Google:

  https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/vagrant@vagrant%3Fsecret%3DKZ7QPA11115XTQJQGBFWAIUJBY%26issuer%3Dvagrant

Your new secret key is: KZ7xxx7EI5123xxx123

Your verification code is 90xx71

Your emergency scratch codes are:

  1571xx03

  9968xx56

  2319xx89

  8321xx97

  9730xx15

  3424xx23

  5667xx03

  9408xx86

  7502xx41

  4677xx14

3、配置 SSH 服务启用两步验证

# 启用两步验证

$ sudo vim /etc/pam.d/sshd

# @include common-auth  # 将禁用密码身份验证

auth required pam_google_authenticator.so  # 禁用密码验证

# 修改SSH配置文件

$ sudo vim /etc/ssh/sshd_config

Port 1090

ChallengeResponseAuthentication yes

PubkeyAuthentication yes

PasswordAuthentication no

AuthenticationMethods publickey,keyboard-interactive

# 重启SSH服务

$ sudo systemctl restart ssh.service

4、配置 sudo 二次验证

# 保存并退出

$ sudo vim /etc/pam.d/common-auth

auth required pam_google_authenticator.so

# 重启SSH服务

$ sudo systemctl restart ssh.service

5、手机安装 Google 身份验证器

  1. 通过此工具扫描上一步生成的二维码图形,获取动态验证码
  2. 之后,就可以使用手机进行二次认证了,才能登陆服务器了

6、使用 Fail2ban 去屏蔽多次尝试密码的 IP

# 安装软件

$ sudo apt install -y fail2ban


# 配置文件

$ vim /etc/fail2ban/jail.local

[DEFAULT]

ignoreip = 127.0.0.1/8

bantime  = 86400

findtime = 600

maxretry = 5

banaction = firewallcmd-ipset

action = %(action_mwl)s

[sshd]

enabled = true

filter  = sshd

port    = 1090

action = %(action_mwl)s

logpath = /var/log/secure

# 重启服务

$ systemctl restart fail2ban

7、从二次验证锁定中恢复

# 禁用特定用户的二步验证(无法访问身份验证器应用程序)

$ sudo vim /etc/ssh/sshd_config

AuthenticationMethods publickey,keyboard-interactive

AuthenticationMethods publickey

# 重启SSH服务

$ sudo systemctl restart ssh.service

给 SSH 启用二次身份验证的更多相关文章

  1. 无法在web服务器上启动调试。调试失败,因为没有启用集成windows身份验证

    ----注意:以管理员身份运行VS C#中ASP.NET Web应用程序编译时的错误:无法在web服务器上启动调试.调试失败,因为没有启用集成windows身份验证. 解决:打开IIS,在IIS里查看 ...

  2. Shiro笔记(二)身份验证

    Shiro笔记(二)身份验证 一.核心代码 @Test public void helloWorldTest(){ IniSecurityManagerFactory factory = new In ...

  3. 解决 SQL Server 所有帐号无 sysadmin 权限,且未启用 SQL Server 身份验证,sa 帐号也未启用的问题

    解决 未启用 SQL Server 身份验证 的问题: 1. 运行 regedit,进入注册表编辑器 2. 打开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Micro ...

  4. SSH登录启用Google二次身份验证

    一般来说,使用ssh远程登录服务器,只需要输入账号和密码,显然这种方式不是很安全.为了安全着想,可以使用GoogleAuthenticator(谷歌身份验证器),以便在账号和密码之间再增加一个验证码, ...

  5. Linux下部署SSH登录时的二次身份验证环境记录(利用Google Authenticator)

    一般来说,使用ssh远程登录服务器,只需要输入账号和密码,显然这种方式不是很安全.为了安全着想,可以使用GoogleAuthenticator(谷歌身份验证器),以便在账号和密码之间再增加一个验证码, ...

  6. shiro系列二、身份验证和授权

    一.身份验证 先来看看身份验证的流程 流程如下: 1.首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必须通过SecurityUtil ...

  7. shiro学习(二)身份验证

    身份验证,即在应用中谁能证明他就是他本人.一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明. 在shiro中,用户需要提供principals (身份)和cre ...

  8. webapi框架搭建-安全机制(二)-身份验证

    webapi框架搭建系列博客 身份验证(authentication)的责任是识别出http请求者的身份,除此之外尽量不要管其它的事.webapi的authentication我用authentica ...

  9. .net core使用ocelot---第二篇 身份验证

    简介原文链接      .net core使用ocelot---第一篇 简单使用 接上文,我将继续介绍使用asp.net core 创建API网关,主要介绍身份验证(authentication )相 ...

随机推荐

  1. labview从入门到出家1--第一个加法程序

    概述: Labview在众多编程语言中排名靠后,显然在当今互联网,物联网时代并非主流语言.但是俗话说行行 出状元,即便不是立身于某个主流的领域,用好了依旧可以独领风骚,而且Labview对于硬件出身的 ...

  2. C语言指针-小结

    1) 指针变量可以进行加减运算,但是指针变量的加减运算并不是加上或减去一个数,而是跟指针指向的数据类型有关,数据类型在系统中占了多少个字节,指针+1后就向后移动了多少个字节. 2) int *poin ...

  3. 微信开发在Pc端调用公众号粉丝发送过来的图片素材

    因为项目要在PC端搞一个微信墙功能,就是把粉丝发送过来的上墙内容给展示出来,但因为微信对微信素材进行了防盗链加密处理,所以在非微信页面上直接引用在微信服务器上的图片的链接是无法显示的,只会显示一张微信 ...

  4. Deep Learning-深度学习(一)

    深度学习入门 1.人工智能.机器学习.深度学习 1.1 人工智能(AI) 一个比较宽泛的概念.即用来模拟人的智能的理论,并对这个模拟出来的智能进行延伸和开拓.通俗来讲就是要达到用机器模拟人类的聪慧来处 ...

  5. React中useEffect的简单使用

    学习hooks 在 React 的世界中, 组件有函数组件和类组件 UI 组件我们可以使用函数,用函数组件来展示 UI. 而对于容器组件,函数组件就显得无能为力. 我们依赖于类组件来获取数据,处理数据 ...

  6. 作业二、安装CentOS7.9

    一.安装环境 1.VMware Workstation 16 Pro 2.CentOS7.9 二.部署系统 步骤1.进入VMware,点击创建新的虚拟机 步骤2.进入新建虚拟机向导,选择典型(推荐) ...

  7. 算法-买卖股票的最佳时机II

    01.题目分析 给定一个数组 prices ,它的第 i 个元素 prices[i] 表示一支给定股票第 i 天的价格.你只能选择 某一天 买入这只股票,并选择在 未来的某一个不同的日子 卖出该股票. ...

  8. JAVA语言基础组成(2)

    函数  函数的定义 1.什么是函数? 函数就是定义在类中的具有特定功能的一段独立小程序.函数也称为方法. 2.函数的格式: 修饰符 返回值类型 函数名(参数类型 形式参数1,参数类型 形式参数2,.. ...

  9. Linux 06 用户组管理

    参考源 https://www.bilibili.com/video/BV187411y7hF?spm_id_from=333.999.0.0 版本 本文章基于 CentOS 7.6 概述 每个用户都 ...

  10. 👍CleanShot X 3.1.1 破解版 (超强屏幕截图录像工具) (TNT + 免激活)

    软件语言为ENGLISH,英文不好的劝退! 软件介绍/功能 CleanShot X 3 是一款Mac超强截图以及屏幕录制工具.支持:区域截图.窗口截图.滚动截图.延时截图.屏幕录制.贴图.截图时隐藏桌 ...