背景
あなたはユーザ名+パスワード認証を使用している場合は、ssh経由でリモート接続され、パスワードの漏洩ケースパスワードが暴力的なクラック李であるには余りにも簡単ですLinuxサーバは、セキュアサーバーを保証できません。その結果、Googleはサーバーに連結されているセキュリティドアを確認するために、動的パスワードを組み合わせることができます。この場合、ユーザーのパスワードが侵害された場合でも、ない動的パスワード認証サーバがログオンすることができないんですが。
環境
ステップ
1.スクリプトをインストールワンクリック
#安装epel
yum install -y epel-release.noarch &> /dev/null
yum makecache &> /dev/null
#安装google authenticator
yum install -y google-authenticator.x86_64 &> /dev/null
echo -e "\033[31mDo you want me to update your "/root/.google_authenticator" file? (y/n) y"
echo -e "\033[31m你希望我更新你的“/root/.google_authenticator”文件吗(y/n)?\033[0m"
echo -e "\033[31mDo you want to disallow multiple uses of the same authentication"
echo -e "\033[31mtoken? This restricts you to one login about every 30s, but it increases"
echo -e "\033[31myour chances to notice or even prevent man-in-the-middle attacks (y/n) y"
echo -e "\033[31m你希望禁止多次使用同一个验证令牌吗?这限制你每次登录的时间大约是30秒, 但是这加大了发现甚至防止中间人攻ji的可能性(y/n)?\033[0m"
echo -e "\033[31mBy default, a new token is generated every 30 seconds by the mobile app."
echo -e "\033[31mIn order to compensate for possible time-skew between the client and the server,"
echo -e "\033[31mwe allow an extra token before and after the current time. This allows for a"
echo -e "\033[31mtime skew of up to 30 seconds between authentication server and client. If you"
echo -e "\033[31mexperience problems with poor time synchronization, you can increase the window"
echo -e "\033[31mfrom its default size of 3 permitted codes (one previous code, the current"
echo -e "\033[31mcode, the next code) to 17 permitted codes (the 8 previous codes, the current"
echo -e "\033[31mcode, and the 8 next codes). This will permit for a time skew of up to 4 minutes"
echo -e "\033[31mbetween client and server."
echo -e "\033[31mDo you want to do so? (y/n) y"
echo -e "\033[31m默认情况下,令牌保持30秒有效;为了补偿客户机与服务器之间可能存在的时滞,\033[0m"
echo -e "\033[31m我们允许在当前时间前后有一个额外令牌。如果你在时间同步方面遇到了问题, 可以增加窗口从默认的3个可通过验证码增加到17个可通过验证码,\033[0m"
echo -e "\033[31m这将允许客户机与服务器之间的时差增加到4分钟。你希望这么做吗(y/n)?\033[0m"
echo -e "\033[31mIf the computer that you are logging into isn't hardened against brute-force"
echo -e "\033[31mlogin attempts, you can enable rate-limiting for the authentication module."
echo -e "\033[31mBy default, this limits attackers to no more than 3 login attempts every 30s."
echo -e "\033[31mDo you want to enable rate-limiting? (y/n) y"
echo -e "\033[31m如果你登录的那台计算机没有经过固化,以防范运用蛮力的登录企图,可以对验证模块\033[0m"
echo -e "\033[31m启用尝试次数限制。默认情况下,这限制攻ji者每30秒试图登录的次数只有3次。 你希望启用尝试次数限制吗(y/n)?\033[0m"
echo -e "\033[32m 在App Store 搜索Google Authenticator 进行App安装 \033[0m"
expect << EOF
spawn google-authenticator
expect {
"y/n" {send "y\n";exp_continue}
"y/n" {send "y\n"}
"y/n" {send "y\n"}
"y/n" {send "y\n"}
}
EOF
#/etc/pam.d/sshd文件,修改或添加下行保存
#auth required pam_google_authenticator.so
sed -i '1a\auth required pam_google_authenticator.so' /etc/pam.d/sshd
#编辑/etc/ssh/sshd_config找到下行
#ChallengeResponseAuthentication no
#更改为
#ChallengeResponseAuthentication yes
sed -i 's/ChallengeResponseAuthentication no/ChallengeResponseAuthentication yes/' /etc/ssh/sshd_config
#重启SSH服务
systemctl restart sshd2.スクリプトを直接スキャン二次元コード生成画面を実行した後、またはブラウザを開き、生成したスキャンコードをログに記録する動的パスワードを使用する二次元コードスキャンコードの先頭にURLをコピーし
、図に示す2.1オープンリモート接続ツールはxshell、
2.2入力動的パスワード
2.3は、パスワードサーバ入力
2.4チェックは/ var / log /セキュアなログは、サーバーモジュールにリモートログイン認証のssh pam_google_authenticatorダイナミック伐採によって見つけることができますし、
問題が発生しました
1.メーターの電話スキャン二次元コードが提案されている
関連情報を検索し、Google Playのアプリをインストールした後、しかし、オープンフラッシュバックは、理由のGoogleサービスフレームワークはないように思える、彼はGoogleのサービスフレームワークのアプリケーションをダウンロードしたので、まだ成功、科学とインターネットは、この問題を解決することができませんでした。
そのため、問題がトスしていない時の、電話回線への変更が続きます。
その後、電話スキャンコードが成功しなかった場合、あなたは「認証」のプラグインのためのWebストア検索をクロムできる2、およびChromeブラウザのスキャンコードに追加
3.電話が失われたか、そうでない場合は、動的パスワードをリードして得ることができない場合は、緊急時の擦れを使用することができますがログサーバにコードをこする、デフォルトの設定ファイルは/root/.google_authenticatorですが、コードを少し傷があります、安全な場所に保存することをお勧めします。