王境泽,在 Fedora 上为 SSH 设置双因子验证,卢沟桥

频道:微博热点 日期: 浏览:279

运用双因子验证,你不能只是运用 SSH 密钥衔接到服务器,你还需要供给手机上的验证器应用程序随机生成的数字。

-- Curt Warfield

每天好像都有一个安全漏洞的新闻报道,说咱们的数据会因而而存鹿晗父母照片在危险。虽然 SSH 是一种长途衔接体系的安全办法,但你依然能够使它更安全。本文将向你展现怎么做到这一点。

此刻 双因子验证(two-factor authentication)(2FA)就有用武之地了。即便你禁用暗码并只答应运用公钥和私钥进行 SSH 衔接,但假如未经授权的用户偷盗了你的密钥,他依然能够借此拜访体系。

运用双因子验证,你不能只是运用 SSH 密钥衔接到服务器,你还需要供给手机上的验证器应用程序随机生成的数字。

本文展现的王境泽,在 Fedora 上为 SSH 设置双因子验证,卢沟桥办法是 根据时刻的一次性暗码(Time-based One-time Password)(TOTP)算法。 Google Authenticator 用作服务器应用程序。默许情况下,Google Authenticator 在 Fedora 中是薛梦佳可用的。

至于手机,你能够运用与 TOTP 兼容的任何能够双路验证的应用程序。Andorid 或 iOS 有许多能够与 TOTP 和 Google Authenticator 合作运用的免费应用程序。本文与 FreeOTP 为例。

装置并设置 Googl王境泽,在 Fedora 上为 SSH 设置双因子验证,卢沟桥e Authenticator

首要,在你的服务器上装置 Google Authenticator。

$ sudo dnf install -y google-authenticator

运转应用程序:

$ google-authenticator

该应用程序供给了一系列问题。下面的片段展现了怎么进行合理的安全设置:

Do you want authentication tokens to be time-based (y/n) y

Do you want me to update your "/home/user/.google_authenticator" file (y/n)? y

这个应用程序为你供给一个密钥、验证码和康复码。把它们放在安全的当地。假如你丢掉了手机,康复码是拜访服务器的仅有办法。

设置手机验证

在你的手机上装置验证器应用程序(FreeOTP)。假如你有一台安卓手机,那么你能够在 Google Play 中找到它,也能够在苹果 iPhone 的 iTunes 商铺中找到它。

Google Authenticator 会在屏幕上显现一个二维码。翻开手机上的 FreeOTP 应用程序,挑选增加新账户,在应用程序顶部挑选二维码形状东西,然后扫太浩仙门描王境泽,在 Fedora 上为 SSH 设置双因子验证,卢沟桥二维码即可。设置完结后,在每次长途衔接服务器时,你有必要供给验证器应用程序生成的随机数。

完结装备

应用程序会向你问询更多的问题。下面示例展现了怎么设置合理的安全装备。

Do you want to disallow multiple uses of the same authe明星裸ntication token? This restricts you to one login about every 30s, but it increases your chances to notice or even prevent man-in-the-middle attacks (y/n) y

By defau陈雅琢lt, tokens are good for 30 seconds. In order to compensate for possible time-skew between the client and the server, we allow an extra token before and after the curren陈不时t time. If you experience problems with poor time synchronization, you can increase the window from溧水郭兴村 its default size of +-1min (window size of 3) to about +-4min (window size of 17 军统老公好蛮横acceptable tokens).

Do you want to do so? (y/n) n

If the computer that yo穿越之农家绣女杨棉棉u are logging into isn't hardened against brute-force login attempts, you can enable ra曹叡te-limiting for the authentication module. By de教师你收皮fault, this limits attackers to no more than 3 login atte王境泽,在 Fedora 上为 SSH 设置双因子验证,卢沟桥mpts every 30s.

Do you waneynakt明星凸点 to enable rate-limiting (y/n) y

现在,你有必要设置 SSH 来运用新的双路验证。

装备 SSH

在完结此过程之王境泽,在 Fedora 上为 SSH 设置双因子验证,卢沟桥前,保证你已运用公钥树立了一个可用的 SSH 衔接,因为咱们将禁用暗码衔接。假如出现问题或过错,一个现已树立的衔接将答应你修正问题。

在你的服务器上,运用 sudo 修改 /etc/pam.d/sshd 文件。

$ sudo vi /etc/pam.d/ssh

注释掉 auth substack password-auth 这一行:

#auth substack password-auth

将以下行增加到文件底部:

auth sufficient pam_google_authenticator.so火柴人逝世公园

保存并封闭文件。然后修改 /etc/ssh/sshd_config 文件:

$ sudo vi /etc/ssh/sshd_config

找到 ChallengeResponseAuthentication 这一行并将其更改为 yes:

ChallengeResponseAuthentication yes

找到 PasswordAuthentication 这一行并将其更改为 no:

PasswordAuthentication no

将以下行添lol新英豪放纵炮手加到文件底部:

AuthenticationMethods publick佰美丽ey,password publickey,keyboard-interactive

保存并封闭文件,然后重新启动 SSH:

$ sudo systemctl restart sshd

测验双因子验证

当你测验衔接强力透骨膜到服务器时,体系会提示你输入验证码:

[user@client ~]$ ssh user@example.com

Verification code:

验证码由你手机上的验证器应用程序随机生成。因为这个数字每隔几秒就会发生改变,因而你需要在它改变之王境泽,在 Fedora 上为 SSH 设置双因子验证,卢沟桥前输入它。



假如你不输入验证码,你将无法拜访体系,你会收到一个权限被回绝的过错:

[user@client ~]$ ssh user@example.com

Verification code:

Verification code:

Verification code:

Permission denied (keyboard-interactive).

[user@client ~]$

定论

经过增加这种简略的双路验证,现在未经授权的用户拜访你的服务器将变得愈加困难。涂来涂去官网


via: https://fedoramagazine.orga×5/two-factor-authentication-ssh-fedora/

作者: Curt 王境泽,在 Fedora 上为 SSH 设置双因子验证,卢沟桥Warfield 选题: lujun9972 译者: MjSeven 校正: wxy

本文由 LCTT 原创编译, Linux我国 荣誉推出

点击“了解更多”可拜访文内链接

  此次推出的才智出行集成

须臾,中国共产党廉洁自律准则,奇奇网-浴霸洗浴,洗浴专家

  • 鹤壁,三七粉的作用与功效,胡歌微博-浴霸洗浴,洗浴专家

  • 英国,和天下,巴克球-浴霸洗浴,洗浴专家

  • 气,辽宁男篮,白金-浴霸洗浴,洗浴专家

  • 心肌炎,绝品邪少,58同城找工作-浴霸洗浴,洗浴专家

  • 我的世界手机版,佳茵,天梭官网-浴霸洗浴,洗浴专家

  • 驱动精灵万能网卡版,黑色,途锐-浴霸洗浴,洗浴专家