如何在Linux中實現SSH的兩因素身份驗證（2FA）？-linux運維-PHP中文網

首頁

運維

linux運維

如何在Linux中實現SSH的兩因素身份驗證（2FA）？

James Robert Taylor

Mar 17, 2025 pm 05:31 PM

如何在Linux中實現SSH的兩因素身份驗證（2FA）？

在Linux系統上實施SSH的兩因素身份驗證（2FA），通過在授予訪問權限之前需要兩種形式的驗證來增強安全性。這是使用Google Authenticator設置2FA的分步指南，這是為此目的最受歡迎的工具之一：

安裝Google Authenticator ：
首先，安裝Google Authenticator PAM模塊。在像Ubuntu這樣的基於Debian的系統上，您可以通過運行來執行此操作：
```
 <code>sudo apt-get update sudo apt-get install libpam-google-authenticator</code>
```
在基於紅帽的系統（例如CentOS）上，您可以使用：
```
 <code>sudo yum install google-authenticator</code>
```
為您的用戶配置Google Authenticator ：
將google-authenticator命令作為用戶運行：將使用SSH：
```
 <code>google-authenticator</code>
```
此命令將生成一個秘密密鑰和QR碼。根據您的喜好回答提示，例如是否使用基於時間的令牌以及是否應每30秒更新密鑰。
配置PAM以使用Google Authenticator ：
通過打開file /etc/pam.d/sshd並在最後添加以下行：編輯SSH的PAM配置：
```
 <code>auth required pam_google_authenticator.so</code>
```

修改SSHD配置：
OPEN /etc/ssh/sshd_config並確保配置以下設置：

 <code>ChallengeResponseAuthentication yes PasswordAuthentication no UsePAM yes</code>

然後重新啟動SSH服務以應用更改：

 <code>sudo systemctl restart sshd</code>

測試SSH登錄：
嘗試通過SSH登錄。現在，除了密碼外，還應提示您獲取驗證代碼。

使用2FA在Linux系統上使用SSH有哪些安全好處？

在Linux系統上為SSH實施兩因素身份驗證提供了幾種安全好處：

增強的安全性：2FA增加了一層安全性，使攻擊者更難獲得未經授權的訪問。即使密碼被妥協，攻擊者仍然需要第二個登錄的因素。
防止密碼攻擊：2FA減輕密碼，蠻力攻擊和密碼猜測所帶來的風險，因為訪問不僅需要密碼。
問責制和監視：使用2FA，每個登錄都可以與物理設備綁定，從而更容易跟踪和監視登錄嘗試並檢測可疑活動。
減少內部人士威脅：2FA可以通過確保員工的憑據被盜或濫用，可以限制內幕威脅的損害，第二個因素仍然是訪問的障礙。
遵守安全標準：許多監管框架和安全標準都需要使用2FA進行遠程訪問，因此實施它可以幫助組織滿足合規性要求。

我可以使用哪些工具或軟件在Linux上設置2FA？

有幾種工具和軟件選項可用於在Linux上為SSH設置2FA，包括：

Google Authenticator ：Google Authenticator易於設置並使用基於時間的一次性密碼（TOTP），在大多數Linux發行版中廣泛使用和支持。
Authy ：類似於Google Authenticator，但具有多設備同步和備份等其他功能。
Duo Security ：一種全面的解決方案，可提供2FA以及高級功能，例如用於身份驗證和與各種系統集成的推送通知。
Yubikey ：一種基於硬件的2FA解決方案，使用U2F（通用第二因子），並且由於其物理性質非常安全。
Linux-PAM ：Linux上的可插入身份驗證模塊（PAM）框架可以配置為使用包括Google Authenticator在內的各種2FA解決方案。
FreeOTP ：Google Authenticator的開源替代方案，可在許多平台上使用。

在Linux服務器上配置SSH時，如何對常見問題進行故障排除？

在Linux服務器上為SSH配置2FA時，您可能會遇到幾個常見問題。這是對它們進行故障排除的方法：

配置2FA後，SSH連接失敗：
- 檢查SSHD配置：確保將ChallengeResponseAuthentication設置為yes ，並將UsePAM設置為yes IN /etc/ssh/sshd_config 。
- 驗證PAM配置：確認auth required pam_google_authenticator.so將正確添加到/etc/pam.d/sshd中。
驗證代碼未接受：
- 時間同步：確保正確設置和同步系統時間。基於時間的一次性密碼（TOTP）依賴於準確的計時。
- 秘密密鑰問題：驗證google-authenticator生成的秘密鍵是否由PAM模塊正確存儲和使用。
身份驗證提示未出現：
- 檢查PAM配置順序： /etc/pam.d/sshd事項中的條目順序。確保不會被後續條目覆蓋Google Authenticator條目。
登錄循環或懸掛：
- 調試SSHD ：使用帶有SSH的-d標誌啟用調試模式並捕獲日誌以了解登錄過程失敗的位置：
```
 <code>ssh -v user@host</code>
```
- 檢查日誌：檢查系統日誌是否有任何相關錯誤消息：
```
 <code>sudo journalctl -u sshd</code>
```
硬件令牌問題：
- 設備驅動程序問題：如果使用Yubikey等硬件令牌，請確保系統安裝和識別正確的驅動程序。

通過遵循這些故障排除步驟，您可以解決常見問題並確保2FA在Linux服務器上的SSH正常工作。

以上是如何在Linux中實現SSH的兩因素身份驗證（2FA）？的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

了解Linux的維護模式：必需品Apr 14, 2025 am 12:04 AM

Linux維護模式通過在啟動時添加init=/bin/bash或single參數進入。 1.進入維護模式：編輯GRUB菜單，添加啟動參數。 2.重新掛載文件系統為讀寫模式：mount-oremount,rw/。 3.修復文件系統：使用fsck命令，如fsck/dev/sda1。4.備份數據並謹慎操作，避免數據丟失。

Debian如何提升Hadoop數據處理速度Apr 13, 2025 am 11:54 AM

本文探討如何在Debian系統上提升Hadoop數據處理效率。優化策略涵蓋硬件升級、操作系統參數調整、Hadoop配置修改以及高效算法和工具的運用。一、硬件資源強化確保所有節點硬件配置一致，尤其關注CPU、內存和網絡設備性能。選擇高性能硬件組件對於提升整體處理速度至關重要。二、操作系統調優文件描述符和網絡連接數:修改/etc/security/limits.conf文件，增加系統允許同時打開的文件描述符和網絡連接數上限。 JVM參數調整:在hadoop-env.sh文件中調整

Debian syslog如何學習Apr 13, 2025 am 11:51 AM

本指南將指導您學習如何在Debian系統中使用Syslog。 Syslog是Linux系統中用於記錄系統和應用程序日誌消息的關鍵服務，它幫助管理員監控和分析系統活動，從而快速識別並解決問題。一、Syslog基礎知識Syslog的核心功能包括：集中收集和管理日誌消息；支持多種日誌輸出格式和目標位置（例如文件或網絡）；提供實時日誌查看和過濾功能。二、安裝和配置Syslog(使用Rsyslog)Debian系統默認使用Rsyslog。您可以通過以下命令安裝：sudoaptupdatesud

Debian中Hadoop版本怎麼選Apr 13, 2025 am 11:48 AM

選擇適合Debian系統的Hadoop版本，需要綜合考慮以下幾個關鍵因素：一、穩定性與長期支持：對於追求穩定性和安全性的用戶，建議選擇Debian穩定版，例如Debian11(Bullseye)。該版本經過充分測試，擁有長達五年的支持週期，能夠確保系統穩定運行。二、軟件包更新速度：如果您需要使用最新的Hadoop功能和特性，則可以考慮Debian的不穩定版(Sid)。但需注意，不穩定版可能存在兼容性問題和穩定性風險。三、社區支持與資源：Debian擁有龐大的社區支持，可以提供豐富的文檔和

Debian上TigerVNC共享文件方法Apr 13, 2025 am 11:45 AM

本文介紹如何在Debian系統上使用TigerVNC共享文件。你需要先安裝TigerVNC服務器，然後進行配置。一、安裝TigerVNC服務器打開終端。更新軟件包列表：sudoaptupdate安裝TigerVNC服務器：sudoaptinstalltigervnc-standalone-servertigervnc-common二、配置TigerVNC服務器設置VNC服務器密碼：vncpasswd啟動VNC服務器：vncserver:1-localhostno

Debian郵件服務器防火牆配置技巧Apr 13, 2025 am 11:42 AM

配置Debian郵件服務器的防火牆是確保服務器安全性的重要步驟。以下是幾種常用的防火牆配置方法，包括iptables和firewalld的使用。使用iptables配置防火牆安裝iptables（如果尚未安裝）：sudoapt-getupdatesudoapt-getinstalliptables查看當前iptables規則：sudoiptables-L配置

Debian郵件服務器SSL證書安裝方法Apr 13, 2025 am 11:39 AM

在Debian郵件服務器上安裝SSL證書的步驟如下：1.安裝OpenSSL工具包首先，確保你的系統上已經安裝了OpenSSL工具包。如果沒有安裝，可以使用以下命令進行安裝：sudoapt-getupdatesudoapt-getinstallopenssl2.生成私鑰和證書請求接下來，使用OpenSSL生成一個2048位的RSA私鑰和一個證書請求（CSR）：openss

Debian郵件服務器虛擬主機配置方法Apr 13, 2025 am 11:36 AM

在Debian系統上配置郵件服務器的虛擬主機通常涉及安裝和配置郵件服務器軟件（如Postfix、Exim等），而不是ApacheHTTPServer，因為Apache主要用於Web服務器功能。以下是配置郵件服務器虛擬主機的基本步驟：安裝Postfix郵件服務器更新系統軟件包：sudoaptupdatesudoaptupgrade安裝Postfix：sudoapt

See all articles