배스천 머신에 google-authenticator 설치

회사의 온라인 머신은 사용자가 마음대로 로그인하는 것을 허용하지 않기 때문에 개발자는 프로덕션 머신에 마음대로 로그인할 수 없습니다. 그래서 google-auth 인증 방식을 사용하려고 합니다.

　google-auth 방식이라면.

　google-authenticator 구축:

　다음과 같이 구축하는 것은 매우 간단합니다.

　git clone 최신 버전의 Google 인증을 다운로드하세요.

　　cd google-authenticator-libpam/

　 ./bootstrap.sh

　 ./configure && make && make install

　 ln -s /usr/local/lib/security/pam_google_authenticator.so /lib64/security/pam_google_authent 아이케이터. so

　　/etc/pam.d/sshd를 수정하세요,

　　#상단에 "auth require pam_google_authenticator.so" 줄을 추가하세요
　　　 #이 구성은 더 복잡할 수 있습니다. 일부 매개변수를 추가하세요. libpam/README
　　　#참고: 여전히 비밀번호를 입력해야 하는 경우 "auth 충분한 pam_google_authenticator.so"로 변경해 보세요.

　/etc/ssh/sshd_config

　ChallengeResponseAuthentication 옵션을 no에서 yes로 변경하세요

　UsePAM yes

　service sshd restart

　Generate key

　$ google-authenticator #Note: 이 명령을 실행하려면, 당신은해야합니다 로그인 루트 사용자가 아닌 사용자
　　인증 토큰을 시간 기반(y/n)으로 하시겠습니까? y (확인: 시간 기반 인증 토큰)
　　【QR 코드 생성을 위한 주소, QR 코드 및 키는 다음과 같습니다. 여기에 표시됩니다. 일반 텍스트, 긴급 코드】
　　"/var/www/.google_authenticator" 파일을 업데이트하시겠습니까(y/n) y (확인: 구성 파일 업데이트)
　　......
　　크기 1분 30초 ~ 4분 정도 하시겠습니까(y/n) n (토큰 유효 기간은 1.5분입니다. 4분을 얻으려면 y를 선택하세요)
　　...
　속도 제한을 활성화하시겠습니까(y/ n) y (30초 이내에 3번만 시도 가능)

앱에서 QR 코드를 스캔하거나 수동으로 키를 입력하면 30초마다 토큰이 업데이트되는 것을 볼 수 있습니다

로그인을 시도하세요
$ ssh localhost
인증코드 : [인증코드를 입력하세요 ]
　 비밀번호 : [비밀번호를 입력하세요]

보충사항 :

하지만 그때는 그냥 구글인증기가 추가되어 있어서 실제 사용시에는 인증과 인증 둘 다 입력하면 됩니다. 비밀번호가 너무 번거로워서 우리 회사를 위한 발판을 구축하고 있습니다. 컴퓨터에 로그인할 때 공개키 + 인증 솔루션을 선택했고, 인증 코드는 한 번만 입력하면 되었습니다. 그런데 여기서 물어볼 게 너무 많아요. 예를 들어 openssh 버전이 6.2보다 높으면 AuthenticationMethods를 사용할 수 없습니다. 가장 좋은 방법은 centos7 버전을 사용하는 것입니다(사용 가능한 것으로 확인되었습니다). 제가 기술을 잘 못해서 그런가 봐요.)

일련의 확인 방법을 지정할 수 있는 SSH 6.2+의 새로운 AuthenticationMethods 매개변수를 사용했기 때문에 구체적인 구성 방식은 크게 변경되지 않았습니다.

인용문

#기본적으로 공개키 인증이 먼저 필요하며, 인증코드를 사용하세요
AuthenticationMethods publickey,keyboard-interactive

#지정된 IP에 대해서는 공개키 인증만 필요합니다
주소 10.0.0.4
인증방법 publickey

#할 수도 있습니다 사용자에게 공개키 확인만 필요하다고 지정
#사용자 일치 XXX
#AuthenticationMethods 공개키

그런데, 오늘 스프링보드 백업머신을 구성했을 때 리눅스는 정말 답답하네요. -interactive 구성에 공개키와 키보드만 명시되어 있는데 복사를 잘못했는데 인증코드를 입력할 때마다 비밀번호가 필요하다는 것을 몇 시간 고민 끝에 알게 되었습니다. pam_google_authenticator.so"는 더 이상 적합하지 않으며 "auth."로 변경해야 합니다. 충분한 pam_google_authenticator.so"이므로 인증 코드를 입력한 후 인증 프로세스가 종료됩니다(충분한 구현으로 중단이 추가됩니까? 대체 뭐죠.) (감사합니다. @ )


마지막으로 SecureCRT를 사용하는 학생들에게 알림입니다. 세션 옵션 -> 연결 -> SSH2로 이동하여 인증에서 "키보드 대화형"만 선택해야 합니다. 그렇지 않으면 로그인할 수 없습니다. 정상적으로.

　　오류: 구성: 오류: PAM 라이브러리 또는 PAM 헤더 파일을 찾을 수 없습니다.

　방법: yum install -y pam-devel

　

인용:

　　

위 내용은 배스천 머신에 google-authenticator 설치의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!