Installieren Sie Google-Authenticator auf dem Bastion-Computer

Auf den Online-Maschinen des Unternehmens können sich Benutzer nicht nach Belieben anmelden, sodass sich Entwickler nicht nach Belieben bei Produktionsmaschinen anmelden können. Daher habe ich vor, die Google-Auth-Überprüfungsmethode zu verwenden.

Wenn die Google-Auth-Methode.

Google-Authenticator erstellen:

Dies ist ganz einfach wie folgt zu erstellen:

git clone lädt die neueste Version von Google Auth herunter.

cd google-authenticator-libpam/

./bootstrap.sh

./configure && make && make install

ln -s /usr/ local/lib/security/pam_google_authenticator.so /lib64/security/pam_google_authenticator.so

Ändern Sie /etc/pam.d/sshd,

#Fügen Sie oben eine Zeile hinzu „auth needed pam_google_authenticator .so "
​ #Diese Konfiguration kann komplizierter sein, fügen Sie einige Parameter hinzu, siehe libpam/README
​ #Hinweis: Wenn Sie auf eine Situation stoßen, in der Sie noch ein Passwort eingeben müssen, ändern Sie es in „Auth ausreichend“. pam_google_authenticator.so“ und probieren Sie es aus.

Ändern Sie /etc/ssh/sshd_config

Ändern Sie die Nummer der ChallengeResponseAuthentication-Option auf „Ja“

Ändern Sie „UsePAM“ auf „Ja“

Service SSHD-Neustart

Schlüssel generieren

$ google-authenticator #Hinweis: Der Benutzer, der diesen Befehl ausführt, ist der Benutzer, der sich anmelden muss, nicht der Root-Benutzer
Möchten Sie, dass Authentifizierungstoken zeitbasiert sind (y /n) y (Bestätigung: zeitbasiertes Authentifizierungstoken)
[Die Adresse, der QR-Code, der Schlüssel-Klartext und der Notfallcode, der den QR-Code generiert hat, werden hier angezeigt]
Möchten Sie, dass ich Ihre aktualisiere? Datei „/var/www/. google_authenticator“ (j/n) y (Bestätigen: Konfigurationsdatei aktualisieren)
　...
　Größe von 1:30 Min. bis ca. 4 Min. Möchten Sie dies tun (y/ n) n (Die Token-Gültigkeitsdauer beträgt 1,5 Minuten, wählen Sie y, um 4 Minuten zu erhalten)
　...
　Möchten Sie die Ratenbegrenzung aktivieren (j/n) y (nur drei Versuche sind innerhalb von 30 Sekunden erlaubt)

Scannen Sie den QR-Code in der App oder geben Sie den Schlüssel manuell ein und Sie werden sehen, dass das Token alle 30 Sekunden aktualisiert wird

Versuchen Sie, sich anzumelden
$ ssh localhost
Bestätigungscode: [Verifizierungscode eingeben]
Passwort: [Passwort eingeben]

Ergänzung:

Aber zu diesem Zeitpunkt Google Authenticator wurde einfach hinzugefügt und in der tatsächlichen Verwendung ist es zu umständlich, sowohl die Bestätigung als auch das Passwort einzugeben. Daher haben wir uns beim Aufbau unserer Sprungbrettmaschine für die Lösung Publickey + Authenticator entschieden und müssen den Bestätigungscode nur einmal eingeben. Aber hier ist viel verlangt. Beispielsweise ist die Version von openssh größer als 6.2. Wenn nicht, kann AuthenticationMethods nicht verwendet werden (es wurde überprüft, dass sie verwendet werden kann). es sollte daran liegen, dass ich nicht gut in Technik bin).

Das spezifische Konfigurationsschema hat sich nicht wesentlich geändert, hauptsächlich unter Verwendung des neuen AuthenticationMethods-Parameters von SSH 6.2+, der eine Reihe von Überprüfungsmethoden angeben kann. Die spezifische Konfiguration ist wie folgt:

Zitat

#Standardmäßig ist zuerst die Überprüfung des öffentlichen Schlüssels und dann der Bestätigungscode erforderlich
AuthenticationMethods publickey,keyboard-interactive

#Für die angegebene IP, Es ist nur eine Überprüfung des öffentlichen Schlüssels erforderlich
Match Address 10.0.0.4
AuthenticationMethods publickey

#Sie können auch angeben, dass der Benutzer nur eine Überprüfung des öffentlichen Schlüssels benötigt
#Match User XXX
#AuthenticationMethods publickey

Übrigens möchte ich mich beschweren, als ich heute die Springboard-Backup-Maschine konfiguriert habe, war es falsch, sie zu kopieren Obwohl in der Konfiguration nur „publickey“ und „keyboard-interactive“ angegeben waren, musste ich jedes Mal nach der Eingabe des Bestätigungscodes das Passwort eingeben. Nachdem ich einige Stunden lang gekämpft hatte, stellte ich fest, dass dies nicht mehr der Fall ist angemessen und muss in „auth ausreichend pam_google_authenticator.so“ geändert werden, damit der Authentifizierungsprozess nach Eingabe des Bestätigungscodes endet (ausreichende Implementierung fügt eine Pause hinzu? Was zum Teufel.) (Danke @ )


Zuletzt noch eine ErinnerungVerwenden Sie SecureCRT Classmate , Sie müssen in den Sitzungsoptionen nur „Keyboard Interactive“ auswählen, sonst können Sie sich nicht anmelden normalerweise.

Fehler: configure: Fehler: Die PAM-Bibliothek oder die PAM-Header-Dateien konnten nicht gefunden werden

Methode: yum install -y pam-devel

Zitat:

　

Das obige ist der detaillierte Inhalt vonInstallieren Sie Google-Authenticator auf dem Bastion-Computer. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!