百度360必应搜狗淘宝本站头条
tomcat 乱码无法与服务器建立安全连接是什么意思sysv-rc-confdocker映射容器目录到宿主机internet explorer 增强的安全配置已启用
当前位置:网站首页 > 技术文章 > 正文

Linux服务器配置动态密钥进行ssh二次验证

nanshan 2024-11-21 18:51 11 浏览 0 评论

相信对于所有网友来说,安全永远是第一位的,各种网站和系统一定要保护好自己的账户安全,很多朋友注册一些的系统的时候会发现有的网站允许绑定自己的谷歌验证器,作为二次验证提高安全性。那作为程序员来说,给自己的服务器加上二次验证的功能,那就更酷了。

我们以centos为例。

安装依赖

yum list | grep google-authenticator
yum install google-authenticator
yum install qrencode

配置Google Authenticator

安装完直接跑下面的命令进行配置,注意只在当前用户生效

> google-authenticator

之后会需要确认几点信息

Do you want authentication tokens to be time-based (y/n) y

是否配置基于时间的动态密钥,选择y,之后会出现超级大一个二维码,下面还会有一些小字,这里的key就是用于配置手机端app的,我们先保存下来,不用慌,因为这个key随时都可以查得到.

Do you want me to update your "/root/.google_authenticator" file? (y/n) y

是否将配置信息更新到自己家目录,选择y进行更新,这个文件里面就保存着上面的key信息,以防后续还有新的手机设备需要用到key

Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y

是否禁止同一密钥在30秒内被多次使用,如果想要更安全就选择y,如果想要更方便就选择n

By default, a new token is generated every 30 seconds by the mobile app.
In order to compensate for possible time-skew between the client and the server,
we allow an extra token before and after the current time. This allows for a
time skew of up to 30 seconds between authentication server and client. If you
experience problems with poor time synchronization, you can increase the window
from its default size of 3 permitted codes (one previous code, the current
code, the next code) to 17 permitted codes (the 8 previous codes, the current
code, and the 8 next codes). This will permit for a time skew of up to 4 minutes
between client and server.
Do you want to do so? (y/n) n

是否允许前8次和后8次的动态密钥也有效,如果客户端和手机端都是基于网络的时间同步,选择n提高安全性

If the computer that you are logging into isn't hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting? (y/n) y

是否限制30秒内最多3次尝试,为了防止恶意试错,选择y 这样服务端的Google Authenticator就配置完毕。下面做一些系统设置,使上面的配置用作ssh。

配置pam

vim /etc/pam.d/sshd
auth required pam_google_authenticator.so nullok
vim /etc/ssh/sshd_config
UsePAM yes
PasswordAuthentication no
ChallengeResponseAuthentication yes
sshd -t
systemctl restart sshd

需要注意的是必须设置PasswordAuthentication no(禁用密码登陆,但是并非必须使用公钥),否则二次验证无法使用,会报如下错误:

sshd[2690384]: fatal: PAM: pam_setcred(): Permission denied

手机设置

推荐使用 andotp 这个APP,扫码添加即可。

如果换了手机也很容易,登录到服务器,找到~/.google_authenticator文件,里面会有之前保存的key,重新在新手机进行添加即可。

Xshell登录验证

下面还是正常ssh登陆服务器,不过输入完用户名以后只能选择交互键盘,依次输入密码和OTP验证码即可。关于登录的一些报错都在/var/log/secure这个日志文件中,不管是什么场景登陆失败都可以先查看下失败日志,对症下药。

注意保持时间同步。 直接使用ntpdate即可,国内可以使用国家授时中心的地址

ntpdate -u 210.72.145.44

基本上服务器和手机都是用的网络时间就不太会有时间同步的问题。

相关推荐

0722-6.2.0-如何在RedHat7.2使用rpm安装CDH(无CM)

文档编写目的在前面的文档中,介绍了在有CM和无CM两种情况下使用rpm方式安装CDH5.10.0,本文档将介绍如何在无CM的情况下使用rpm方式安装CDH6.2.0,与之前安装C5进行对比。环境介绍:...

ARM64 平台基于 openEuler + iSula 环境部署 Kubernetes

为什么要在arm64平台上部署Kubernetes,而且还是鲲鹏920的架构。说来话长。。。此处省略5000字。介绍下系统信息;o架构:鲲鹏920(Kunpeng920)oOS:ope...

生产环境starrocks 3.1存算一体集群部署

集群规划FE:节点主要负责元数据管理、客户端连接管理、查询计划和查询调度。>3节点。BE:节点负责数据存储和SQL执行。>3节点。CN:无存储功能能的BE。环境准备CPU检查JDK...

在CentOS上添加swap虚拟内存并设置优先级

现如今很多云服务器都会自己配置好虚拟内存,当然也有很多没有配置虚拟内存的,虚拟内存可以让我们的低配服务器使用更多的内存,可以减少很多硬件成本,比如我们运行很多服务的时候,内存常常会满,当配置了虚拟内存...

国产深度(deepin)操作系统优化指南

1.升级内核随着deepin版本的更新,会自动升级系统内核,但是我们依旧可以通过命令行手动升级内核,以获取更好的性能和更多的硬件支持。具体操作:-添加PPAs使用以下命令添加PPAs:```...

postgresql-15.4 多节点主从(读写分离)

1、下载软件[root@TX-CN-PostgreSQL01-252software]#wgethttps://ftp.postgresql.org/pub/source/v15.4/postg...

Docker 容器 Java 服务内存与 GC 优化实施方案

一、设置Docker容器内存限制(生产环境建议)1.查看宿主机可用内存bashfree-h#示例输出(假设宿主机剩余16GB可用内存)#Mem:64G...

虚拟内存设置、解决linux内存不够问题

虚拟内存设置(解决linux内存不够情况)背景介绍  Memory指机器物理内存,读写速度低于CPU一个量级,但是高于磁盘不止一个量级。所以,程序和数据如果在内存的话,会有非常快的读写速度。但是,内存...

Elasticsearch性能调优(5):服务器配置选择

在选择elasticsearch服务器时,要尽可能地选择与当前业务量相匹配的服务器。如果服务器配置太低,则意味着需要更多的节点来满足需求,一个集群的节点太多时会增加集群管理的成本。如果服务器配置太高,...

Es如何落地

一、配置准备节点类型CPU内存硬盘网络机器数操作系统data节点16C64G2000G本地SSD所有es同一可用区3(ecs)Centos7master节点2C8G200G云SSD所有es同一可用区...

针对Linux内存管理知识学习总结

现在的服务器大部分都是运行在Linux上面的,所以,作为一个程序员有必要简单地了解一下系统是如何运行的。对于内存部分需要知道:地址映射内存管理的方式缺页异常先来看一些基本的知识,在进程看来,内存分为内...

MySQL进阶之性能优化

概述MySQL的性能优化,包括了服务器硬件优化、操作系统的优化、MySQL数据库配置优化、数据库表设计的优化、SQL语句优化等5个方面的优化。在进行优化之前,需要先掌握性能分析的思路和方法,找出问题,...

Linux Cgroups(Control Groups)原理

LinuxCgroups(ControlGroups)是内核提供的资源分配、限制和监控机制,通过层级化进程分组实现资源的精细化控制。以下从核心原理、操作示例和版本演进三方面详细分析:一、核心原理与...

linux 常用性能优化参数及理解

1.优化内核相关参数配置文件/etc/sysctl.conf配置方法直接将参数添加进文件每条一行.sysctl-a可以查看默认配置sysctl-p执行并检测是否有错误例如设置错了参数:[roo...

如何在 Linux 中使用 Sysctl 命令?

sysctl是一个用于配置和查询Linux内核参数的命令行工具。它通过与/proc/sys虚拟文件系统交互,允许用户在运行时动态修改内核参数。这些参数控制着系统的各种行为,包括网络设置、文件...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表