堡垒机配置SSH使用libpam-google-authenticator双重验证
白侯林
堡垒机配置SSH使用libpam-google-authenticator双重验证
手机上安装authenticator (微软出的)
在安卓或苹果app store里下载authenticator (微软出的,谷歌的有些市场下载不了),要用它生成的动态验证码来登录服务器,避免自己的密码被别人知道了带来的安全隐患
安装libpam-google-authenticator
apt install libpam-google-authenticator -y
配置ssh
# 编辑sshd的PAM文件,vim /etc/pam.d/sshd
# 在第一行插入:
auth required pam_google_authenticator.so
# (不推荐)如果想让没有设置动态验证码的用户也能登录,可以使用如下行
# auth required pam_google_authenticator.so nullok
# 编辑sshd配置文件,vim /etc/ssh/sshd_config
ChallengeResponseAuthentication yes
UsePAM yes
# 重启sshd服务
systemctl restart sshd
为某个用户设置libpam-google-authenticator
huzhewei@oss01:~$ google-authenticator
# 用手机上的authenticator扫描出现的二维码
# 交互的问题全选y
# 默认生成的配置文件是.google_authenticator
注意事项
如果使用公钥登录的话,会跳过google authenticator验证直接登录。对于公钥登录的用户,需限制提权、限制能访问的服务器。
类似资料: