搜尋
首頁運維linux運維堡壘機安裝google-authenticator

堡壘機安裝google-authenticator

Jun 23, 2017 pm 02:34 PM
堡壘安裝

  公司線上的使用機器不能讓使用者隨意的登陸,所以就不能讓開發隨意的登陸到生產的機器的。於是就打算使用google-auth的驗證方式呢。

  如果google-auth的方式。

 搭建google-authenticator:

  搭建這個很簡單,如下:

  git clone  下載最新的google auth 最新版。

  cd google-authenticator-libpam/

  ./bootstrap.sh

  ./configure && make && make install

  local/lib/security/pam_google_authenticator.so /lib64/security/pam_google_authenticator.so

  修改/etc/pam.d/sshd,

 #最一行上方加上一行最上面加一行」"aautsoticsshd,

 #最一行上方加一行」"aautaltic pamator. "

   #這個配置可以更複雜一些,加上一些參數,詳見libpam/README

   #註:如果遇到仍需要輸入密碼的情況,改成"auth sufficient pam_google_authenticator.so" 試試。

  修改/etc/ssh/sshd_config

  將ChallengeResponseAuthentication 選項的no 改成yes

  將UsePAM yes

  service sshd restart

   產生金鑰

  $ google-authenticator    #註:執行這個指令的是需要登入的用戶,不是root用戶
  Do you want authentication tokens to be time-based (y/n 確認:基於時間的認證token)
  【這裡會顯示產生二維碼的位址、二維碼、金鑰明文、應急碼】
  Do you want me to update your "/var/www/. google_authenticator" file (y/n) y (確認:更新設定檔)
  ......
  size of 1:30min to about 4min. Do you want to do so (y/n) n ( token有效期限是1.5min,選y就是4min)
  ......
  Do you want to enable rate-limiting (y/n) y (30s內只允許嘗試三次)

  在app裡掃二維碼,或手動輸入密鑰,即可看到token每隔30s更新一次了

  嘗試登入
  $ ssh localhost

  verification code: 【輸入驗證碼】

  password: 【輸入密碼】

 

補充:

但當時只是簡單加上了Google Authenticator,實際使用中既要輸入驗證又要輸入密碼,太繁瑣了,所以在搭建我司跳板機的時候,選擇了用publickey + authenticator 的方案,只需要輸入一次驗證碼即可。但是這裡要求很多。如openssh的版本大於6.2,如果不是的話,就無法使用AuthenticationMethods,最好的方式是使用centos7的版本(已驗證可以使用)centos6.5測試無法使用(應該是我技術不行)。

具體的設定方案變化不大,主要是用了SSH 6.2+ 新增的AuthenticationMethods 參數,可以指定一系列驗證方法,具體配置如下:

引用

#預設需要先用publickey驗證,再用驗證碼
AuthenticationMethods publickey,keyboard-interactive

#對於指定的IP,只需要publickey驗證
Match Address 10.0.0.4
    AuthenticationMethods publickey

#也可以指定用戶只需要publickey驗證
#Match User XXX
    #AuthenticationMethods publickey





順便吐槽一下,Linux這套東西折騰起來真是要命,今天配置跳板機備份機的時候,完全相同的配置,複製一份就是不對,雖然配置裡只指定了publickey,keyboard-interactive,但是每次輸完驗證碼以後還是要求輸入密碼才行,折騰了幾個小時才發現,不知道從什麼時候開始,"auth required pam_google_authenticator.so" 已經不合適了,需要改成"auth sufficient pam_google_authenticator.so ",這樣才會在輸入驗證碼以後就結束認證過程(sufficient的實作裡加了一個break?什麼鬼。)(感謝@ )
最後,提醒一下

使用SecureCRT的同學

,你需要在Session Options -> Connection -> SSH2,將Authentication中只選用"Keyboard Interactive" ,否則沒法正常登入。

  錯誤:configure: error: Unable to find the PAM library or the PAM header files

  方法:yum install -y pam-devel

  方法:yum install -y pam-devel

 #引用:

    ###### ####

以上是堡壘機安裝google-authenticator的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
Linux操作:網絡和網絡配置Linux操作:網絡和網絡配置Apr 27, 2025 am 12:09 AM

Linux網絡配置可以通過以下步驟完成:1.配置網絡接口,使用ip命令臨時設置或編輯配置文件持久化設置。 2.設置靜態IP,適合需要固定IP的設備。 3.管理防火牆,使用iptables或firewalld工具來控製網絡流量。

Linux中的維護模式:系統管理員指南Linux中的維護模式:系統管理員指南Apr 26, 2025 am 12:20 AM

維護模式在Linux系統管理中扮演關鍵角色,幫助進行系統修復、升級和配置變更。 1.進入維護模式可以通過GRUB菜單選擇或使用命令“sudosystemctlisolaterescue.target”。 2.在維護模式下,可以執行文件系統修復和系統更新等操作。 3.高級用法包括重置root密碼等任務。 4.常見錯誤如無法進入維護模式或掛載文件系統,可通過檢查GRUB配置和使用fsck命令修復。

Linux中的維護模式:何時以及為什麼使用它Linux中的維護模式:何時以及為什麼使用它Apr 25, 2025 am 12:15 AM

使用Linux維護模式的時機和原因:1)系統啟動問題時,2)進行重大系統更新或升級時,3)執行文件系統維護時。維護模式提供安全、控制的環境,確保操作的安全性和效率,減少對用戶的影響,並增強系統的安全性。

Linux:基本命令和操作Linux:基本命令和操作Apr 24, 2025 am 12:20 AM

Linux中不可或缺的命令包括:1.ls:列出目錄內容;2.cd:改變工作目錄;3.mkdir:創建新目錄;4.rm:刪除文件或目錄;5.cp:複製文件或目錄;6.mv:移動或重命名文件或目錄。這些命令通過與內核交互執行操作,幫助用戶高效管理文件和系統。

Linux操作:管理文件,目錄和權限Linux操作:管理文件,目錄和權限Apr 23, 2025 am 12:19 AM

在Linux中,文件和目錄管理使用ls、cd、mkdir、rm、cp、mv命令,權限管理使用chmod、chown、chgrp命令。 1.文件和目錄管理命令如ls-l列出詳細信息,mkdir-p遞歸創建目錄。 2.權限管理命令如chmod755file設置文件權限,chownuserfile改變文件所有者,chgrpgroupfile改變文件所屬組。這些命令基於文件系統結構和用戶、組系統,通過系統調用和元數據實現操作和控制。

Linux中的維護模式是什麼?解釋了Linux中的維護模式是什麼?解釋了Apr 22, 2025 am 12:06 AM

MaintenancemodeInuxisAspecialBootenvironmentforforcalsystemmaintenancetasks.itallowsadMinistratorStoperFormTaskSlikerSettingPassingPassingPasswords,RepairingFilesystems,andRecoveringFrombootFailuresFailuresFailuresInamInimAlenimalenimalenrenmentrent.ToEnterMainterMainterMaintErmaintErmaintEncemememodeBoode,Interlecttheboo

Linux:深入研究其基本部分Linux:深入研究其基本部分Apr 21, 2025 am 12:03 AM

Linux的核心組件包括內核、文件系統、Shell、用戶空間與內核空間、設備驅動程序以及性能優化和最佳實踐。 1)內核是系統的核心,管理硬件、內存和進程。 2)文件系統組織數據,支持多種類型如ext4、Btrfs和XFS。 3)Shell是用戶與系統交互的命令中心,支持腳本編寫。 4)用戶空間與內核空間分離,確保系統穩定性。 5)設備驅動程序連接硬件與操作系統。 6)性能優化包括調整系統配置和遵循最佳實踐。

Linux體系結構:揭示5個基本組件Linux體系結構:揭示5個基本組件Apr 20, 2025 am 12:04 AM

Linux系統的五個基本組件是:1.內核,2.系統庫,3.系統實用程序,4.圖形用戶界面,5.應用程序。內核管理硬件資源,系統庫提供預編譯函數,系統實用程序用於系統管理,GUI提供可視化交互,應用程序利用這些組件實現功能。

See all articles

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱工具

Dreamweaver Mac版

Dreamweaver Mac版

視覺化網頁開發工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

SAP NetWeaver Server Adapter for Eclipse

SAP NetWeaver Server Adapter for Eclipse

將Eclipse與SAP NetWeaver應用伺服器整合。

MinGW - Minimalist GNU for Windows

MinGW - Minimalist GNU for Windows

這個專案正在遷移到osdn.net/projects/mingw的過程中,你可以繼續在那裡關注我們。 MinGW:GNU編譯器集合(GCC)的本機Windows移植版本,可自由分發的導入函式庫和用於建置本機Windows應用程式的頭檔;包括對MSVC執行時間的擴展,以支援C99功能。 MinGW的所有軟體都可以在64位元Windows平台上運作。

PhpStorm Mac 版本

PhpStorm Mac 版本

最新(2018.2.1 )專業的PHP整合開發工具