CentOS7下利用Google Authenticator实现SSH登录的二次身份验证 _CentOS7

文章插图

google Authenticator(谷歌身份验证器) ，是谷歌公司推出的一款动态令牌工具，解决账户使用时遭到的一些不安全的操作进行的“二次验证” ，认证器基于RFC文档中的HOTP/TOTP算法实现，是一种从共享秘钥和时间或次数一次性令牌的算法。在实际应用中可以通过认证器方式对账户有更好的保护
下面在centos7下利用Google Authenticator实现SSH登录的二次身份验证
1、配置EPEL源

curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.reposed -i -e '/mirrors.cloud.aliyuncs.com/d' -e '/mirrors.aliyuncs.com/d' /etc/yum.repos.d/CentOS-Base.repocurl -o /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repoyum makecache

文章插图

2、安装Google Authenticatoryum install google-authenticator -y

文章插图

3、google-authenticator初始化配置哪个账号需要动态验证码，切换到该账号下操作进行操作下面创建如下一个账户进行操作

useradd yuanfanpasswd yuanfansu - yuanfangoogle-authenticatorYour new secret key is: G5RR2IJG2X74MI4ADW622R6PUA #如果在手机的谷歌身份验证器上不想通过"扫描条形码"的方式添加 ， 就输入这个key ， 通过"手动输入验证码的方式"Your verification code is 906194Your emergency scratch codes are:  #下面会生成5个紧急验证码(当无法获取动态验证码或验证码不能使用时可以使用这5个) ， #需要注意的是：这5个验证码用一个就会少一个！请保存好！  45731126  22009120  27836115  94685459  48945214Do you want me to update your "/home/yuanfan/.google_authenticator" file? (y/n) y #提示是否要更新验证文件 ， 选择yDo you want to disallow multiple uses of the same authenticationtoken? This restricts you to one login about every 30s, but it increasesyour chances to notice or even prevent man-in-the-middle attacks (y/n) y # 禁止使用相同口令By default, a new token is generated every 30 seconds by the mobile App.In order to compensate for possible time-skew between the client and the server,we allow an extra token before and after the current time. This allows for atime skew of up to 30 seconds between authentication server and client. If youexperience problems with poor time synchronization, you can increase the windowfrom its default size of 3 permitted codes (one previous code, the currentcode, the next code) to 17 permitted codes (the 8 previous codes, the currentcode, and the 8 next codes). This will permit for a time skew of up to 4 minutesbetween client and server.Do you want to do so? (y/n) y #默认动态验证码在30秒内有效 ， 由于客户端和服务器可能会存在时间差 ， 可将时间增加到最长4分钟 ， 是否要这么做：这里选择yIf the computer that you are logging into isn't hardened against brute-forcelogin attempts, you can enable rate-limiting for the authentication module.By default, this limits attackers to no more than 3 login attempts every 30s.Do you want to enable rate-limiting? (y/n) y #是否限制尝试次数 ， 每30秒只能尝试最多3次 ， 这里选择y进行限制