使用Google身份验证进行ssh二次验证

什么是谷歌身份验证器

谷歌身份验证器，即Google Authenticator（Google身份验证器）v2.33 谷歌推出的一款动态口令工具，解决大家的google账户遭到恶意攻击的问题。

特点

1、透过QR图码自动设定
2、支持多个账户
3、支援多种语言

开始动手

1、编辑/etc/selinux/config文件，关闭selinux
SELINUX=disabled

2、yum安装相关程序
yum -y install gcc make pam-devel libpng-devel libtool wget git

3、安装Qrencode
yum install mercurial

4、使用git clone下载google-authenticator-libpam,安装google authenticator PAM插件
git clone https://github.com/google/google-authenticator-libpam.git

5、进入google-authenticator-libpam目录下，执行脚本
./bootstrap.sh && ./configure && make && make install

6、复制google 身份验证器pam模块到系统下
cp /usr/local/lib/security/pam_google_authenticator.so /lib64/security/

7、配置/etc/pam.d/sshd文件，将认证模块添加
auth required pam_google_authenticator.so

8、修改SSH服务配置/etc/ssh/sshd_config文件，将注释去掉
ChallengeResponseAuthentication yes

9、重启ssh服务
service sshd restart

10、切换到需要验证的系统账户，运行程序
google-authenticator

11、谷歌身份验证器配置

12、验证

login as: 输入用户名
Using keyboard-interactive authentication.
Verification code:输入验证码
Using keyboard-interactive authentication.
Password:输入密码