堡垒机安装google-authenticator-linux运维-PHP中文网

首页

运维

linux运维

堡垒机安装google-authenticator

巴扎黑

Jun 23, 2017 pm 02:34 PM

堡垒安装

　　公司线上的使用机器不能让用户随意的登陆，所以就不能让开发随意的登陆到生产的机器的。于是就打算使用google-auth的验证方式呢。

　　如果google-auth的方式。

　搭建google-authenticator:

　　搭建这个很简单，如下：

　　git clone 下载最新的google auth 最新版。

　　cd google-authenticator-libpam/

　　./bootstrap.sh

　　./configure && make && make install

　　ln -s /usr/local/lib/security/pam_google_authenticator.so /lib64/security/pam_google_authenticator.so

　　修改/etc/pam.d/sshd,

　　#最上方加一行 "auth required pam_google_authenticator.so"
　 #这个配置可以更复杂一些，加上一些参数，详见 libpam/README
　#注：如果遇到仍然需要输入密码的情况，改成 "auth sufficient pam_google_authenticator.so" 试试。

　　修改/etc/ssh/sshd_config

　　将 ChallengeResponseAuthentication 选项的 no 改成 yes

　　将 UsePAM yes

　　service sshd restart

　　生成密钥

　　$ google-authenticator #注：运行这个命令的是需要登录的用户，不是root用户
　　Do you want authentication tokens to be time-based (y/n) y （确认：基于时间的认证token）
　　【这里会显示生成二维码的地址、二维码、密钥明文、应急码】
　　Do you want me to update your "/var/www/.google_authenticator" file (y/n) y （确认：更新配置文件）
　　......
　　size of 1:30min to about 4min. Do you want to do so (y/n) n （token有效期是1.5min，选y就是4min）
　　......
　　Do you want to enable rate-limiting (y/n) y （30s内只允许尝试三次）

　　在app里扫二维码，或者手动输入密钥，即可看到token每隔30s更新一次了

　　尝试登录
　　$ ssh localhost
　　verification code: 【输入验证码】
　　password: 【输入密码】

补：

但当时只是简单加上了Google Authenticator，实际使用中既要输入验证又要输入密码，太繁琐了，所以在搭建我司跳板机的时候，选择了用 publickey + authenticator 的方案，只需要输入一次验证码即可。但是这里要求很多。如openssh的版本大于6.2，如果不是的话，就无法使用AuthenticationMethods，最好的方式是使用centos7的版本（已验证过可以使用）centos6.5测试无法使用（应该是我技术不行）。

具体的配置方案变化不大，主要是用上了 SSH 6.2+ 新增的 AuthenticationMethods 参数，可以指定一系列验证方法，具体配置如下：

引用

#默认需要先用publickey验证，再用验证码
AuthenticationMethods publickey,keyboard-interactive

#对于指定的IP，只需要publickey验证
Match Address 10.0.0.4
AuthenticationMethods publickey

#也可以指定用户只需要publickey验证
#Match User XXX
#AuthenticationMethods publickey

顺便吐槽一下，Linux这套东西折腾起来真是要命，今天配置跳板机备份机的时候，完全相同的配置，复制一份就是不对，虽然配置里只指定了publickey,keyboard-interactive，但是每次输完验证码以后还是要求输入密码才行，折腾了几个小时才发现，不知道从什么时候开始，"auth required pam_google_authenticator.so" 已经不合适了，需要改成 "auth sufficient pam_google_authenticator.so"，这样才会在输入验证码以后就结束认证过程（sufficient的实现里加了一个break？什么鬼。）（感谢 @ ）

最后，提醒一下使用SecureCRT的同学，你需要在Session Options -> Connection -> SSH2，将Authentication中只选用 "Keyboard Interactive" ，否则没法正常登录。

　　错误：configure: error: Unable to find the PAM library or the PAM header files

　　方法：yum install -y pam-devel

引用：

以上是堡垒机安装google-authenticator的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

掌握Linux操作：实用指南Apr 12, 2025 am 12:10 AM

掌握Linux操作的原因是其广泛的应用场景和强大的功能。1)Linux适合开发者、系统管理员和技术爱好者，应用于服务器管理、嵌入式系统和容器化技术。2)学习Linux可以从文件系统结构、Shell使用、用户权限管理和进程管理入手。3)Linux命令行是其核心工具，通过Shell执行命令，如ls、mkdir、cd等，支持重定向和管道操作。4)高级用法包括编写自动化脚本，如备份脚本，使用tar命令和条件判断。5)常见错误包括权限、路径和语法问题，可通过echo、set-x和$?调试。6)性能优化建议

Linux的5支支柱：了解他们的角色Apr 11, 2025 am 12:07 AM

Linux系统的五大支柱是：1.内核，2.系统库，3.Shell，4.文件系统，5.系统工具。内核管理硬件资源并提供基本服务；系统库为应用程序提供预编译函数；Shell是用户与系统交互的接口；文件系统组织和存储数据；系统工具用于系统管理和维护。

Linux维护模式：工具和技术Apr 10, 2025 am 09:42 AM

在Linux系统中，可以通过在启动时按特定键或使用命令如“sudosystemctlrescue”进入维护模式。维护模式允许管理员在不受干扰的情况下进行系统维护和故障排除，如修复文件系统、重置密码、修补安全漏洞等。

关键Linux操作：初学者指南Apr 09, 2025 pm 04:09 PM

Linux初学者应掌握文件管理、用户管理和网络配置等基本操作。1)文件管理：使用mkdir、touch、ls、rm、mv、cp命令。2)用户管理：使用useradd、passwd、userdel、usermod命令。3)网络配置：使用ifconfig、echo、ufw命令。这些操作是Linux系统管理的基础，熟练掌握它们可以有效管理系统。