SSHGoogleAuthenticator安全加固
1。SSH连接
SecureShell(安全外壳协议,简称SSH)是一种加密的网络传输协议,可在不安全的网络中为网络服务提供安全的传输环境。SSH通过在网络中创建安全隧道来实现SSH客户端与服务器之间的连接。虽然任何网络服务都可以通过SSH实现安全传输,SSH最常见的用途是远程登录系统,人们通常利用SSH来传输命令行界面和远程执行命令。使用频率最高的场合类Unix系统,但是Windows操作系统也能有限度地使用SSH。
SSH本身是一个非常安全的认证连接方式。不过由于人过等方面的原因,难免会造成密码的泄露。针对这种问题我们不妨给SSH再加一把锁。当然,增加这层锁的方式有很多种。例如:knockd、SKEY、OPIEOPTW、Twofactorauthentication等。
2。GoogleAuthenticator
Google身份验证器是一款基于时间与哈希的一次性密码算法的两步验证软件令牌,此软件用于Google的认证服务。此项服务所使用的算法已列于RFC6238和RFC4226中。
Google身份验证器给予用户一个六位到八位的一次性密码用于进行登录Google或其他站点时的附加验证。其同样可以给第三方应用生成口令,例如密码管家程序或网络硬盘。先前版本的Google身份验证器开放源代码,但之后的版本以专有软件的形式公开。
3。Linux中安装
3。1系统环境说明
〔rootclsn。ioroot〕clsn。ioBlogWebSite
catetcredhatrelease
CentOSrelease6。8(Final)
〔rootclsn。ioroot〕clsn。ioBlogWebSite
unamea
Linuxclsn。io4。10。51。el6。elrepo。x86641SMPWedMar2214:55:33EDT2017x8664x8664x8664GNULinux
〔rootclsn。ioroot〕clsn。ioBlogWebSite
sestatus
SELinuxstatus:disabled
3。2安装GoogleAuthenticator
3。2。1安装依赖包
yumyinstallwgetgccmakepamdevellibpngdevel
3。2。2GoogleAuthenticatorPAM插件安装
可在google的github下载
wgethttps:github。comgooglegoogleauthenticatorarchive1。02。tar。gz
tarxf1。02。tar。gz
cdgoogleauthenticator1。02libpam
。bootstrap。sh
。configure
makemakeinstall
安装完成后会在usrlocallibsecuritypamgoogleauthenticator。so生成一个库文件,
系统还会多在usrlocalbin目录生成一个googleauthenticator可执行文件,通过运行该命令进行配置。
3。2。3复制so文件
cpusrlocallibsecuritypamgoogleauthenticator。solib64security
4。配置SSHGoogleAuthenticator
4。1初始配置GoogleAuthenticator
〔rootclsn。iolib64security〕clsn。ioBlogWebSite
googleauthenticator
Doyouwantauthenticationtokenstobetimebased(yn)n
是否基于时间的认证,为了防止不同跨时区的问题,这里选择n
https:www。google。comchart?chs200x200chldM0chtqrchlotpauth:hotprootclsn。io3Fsecret326issuer3Dclsn。io
s生成的二维码
Yournewsecretkeyis:
Yourverificationcodeis50
Youremergencyscratchcodesare:
4084
1995
6078
8392
3158
这5个码用于在取不到或错的验证码有错时,用于应急用的。不过每个只能用一次,不能重复使用。
Doyouwantmetoupdateyourroot。googleauthenticatorfile?(yn)y
Bydefault,threetokensarevalidatanyonetime。Thisaccountsfor
generatedbutnotusedtokensandfailedloginattempts。Inorderto
decreasethelikelihoodofsynchronizationproblems,thiswindowcanbe
increasedfromitsdefaultsizeof3to17。Doyouwanttodoso(yn)y
Ifthecomputerthatyouareloggingintoisnthardenedagainstbruteforce
loginattempts,youcanenableratelimitingfortheauthenticationmodule。
Bydefault,thislimitsattackerstonomorethan3loginattemptsevery30s。
Doyouwanttoenableratelimiting(yn)y
4。2SSH调用及客户端配置
添加pam认证,在第一行添加
vimetcpam。dsshd
authrequiredpamgoogleauthenticator。so
catetcpam。dsshd
PAM1。0
authrequiredpamsepermit。so
authrequiredpamgoogleauthenticator。so
authincludepasswordauth
accountrequiredpamnologin。so
accountincludepasswordauth
passwordincludepasswordauth
pamselinux。socloseshouldbethefirstsessionrule
sessionrequiredpamselinux。soclose
sessionrequiredpamloginuid。so
pamselinux。soopenshouldonlybefollowedbysessionstobeexecutedintheusercontext
sessionrequiredpamselinux。soopenenvparams
sessionrequiredpamnamespace。so
sessionoptionalpamkeyinit。soforcerevoke
sessionincludepasswordauth
修改sshd配置
vimetcsshsshdconfig
ChallengeResponseAuthenticationno
把上面配置改成
重启sshd服务
servicesshdrestart
5。客户端使用
5。1Android客户端
(版本5。00,更新日期2017年9月27日)
下载地址:https:play。google。comstoreappsdetails?idcom。google。android。apps。authenticator2hlzh
CLSN镜像地址https:clsn。iofilesgooglecom。google。android。apps。authenticator。apk
6。2浏览器客户端
获取30秒一次的动态码的客户端是浏览器(仅支持chrome、firefox)、Android设备、苹果IOS设备、Blackberry、WP手持设备。各自程序的下载地址为:
chromegoogleauthenticator插件
firefoxgoogleauthenticator插件
6。3Python客户端
importhmac,base64,struct,hashlib,time
defcalGoogleCode(secretKey):
inputint(time。time())30
keybase64。b32decode(secretKey)
msgstruct。pack(Q,input)
googleCodehmac。new(key,msg,hashlib。sha1)。digest()
oord(googleCode〔19〕)15
googleCodestr((struct。unpack(I,googleCode〔o:o4〕)〔0〕0x7fffffff)1000000)
iflen(googleCode)5:
googleCode0googleCode
returngoogleCode
secretKey这里填秘钥
printcalGoogleCode(secretKey)
行吟诗刊丨屈杰逶迤十里惊画廊,御笔千寻指碧宇云拥御笔峰。覃文乐摄武陵仙境行作者丨屈杰造化当年挥鬼斧,宏开仙境向南楚。只见神仙不见人,不闻尘嚣闻鸟语。天籁悠悠水泠泠,奇峰突兀倚天举。不知今夕是何年,瑶花琪草凭谁主?不知一人从何2023新年献词集锦笃志前行,虽远必达没有什么力量能阻挡梦想2023年新年献词激励我们砥砺前行,虽远必达没有什么力量,能阻挡梦想!万事皆可期!大有学问新年献词新年送好礼写作素材2022年,我们14亿多人携手并进,风雨兼程,共同走过不平凡的一一声叹息辞旧岁,满怀期待迎新年(一个普通人的新年献词)过去一年,乃至过去三年,在新冠病毒的侵扰下,稀里糊涂地过来了。三年,相对于历史长河,只不过滴水的份量。但对于一个人,它可能是逝去的童年,也可能是回不去的青春它可能是奋进的年华,也可一个人的献词致过去的日子和未来的我们一hr新旧更迭,新年献词总会作为一份仪式感粉墨登场,于是,一些人在忙着告别,一些人陷入了遐想,还有一些人在精心地说谎!每个人都可以发一篇献词,每个人都能注解自己的梦想。那著名的献词阜阳爆款名字出炉!排名第一的竟是一诺!2022年阜阳新生儿入户64454人,为近三年来最低阜阳人最喜欢给孩子起啥名?一诺!记者从市公安局了解到2022年全市新生儿入户64454人为近三年来最低阜阳孩子重名率最高的是一诺如王一诺有86人统计显示2020年全市新生儿入户94春节档流浪地球2最受期待,沈腾和熊大熊二最忙丨图数馆2023年春节档七雄争霸,有首次携作品进入春节档的导演,比如无名的导演程耳交换人生的导演苏伦和动画电影深海的导演田晓鹏,也有像张艺谋和郭帆导演这样第二次带着作品在春节档与观众见面,凯特王妃将王室的分裂和争吵,归咎于哈里王子的妻子梅根据报道,在他真诚而亲密的回忆录备胎发行后,凯特米德尔顿已经认不出哈里王子了。凯特米德尔顿威廉王子和哈里王子曾经关系亲密,因为哈里和威廉都是戴安娜王妃的儿子,他们都在母亲去世后受过苦(文化)2023年春节联欢晚会完成全部五次彩排1月19日,中央广播电视总台2023年春节联欢晚会按正式直播标准流程顺利完成了第五次彩排。这是彩排现场。1月19日,中央广播电视总台2023年春节联欢晚会按正式直播标准流程顺利完成记者问杨紫拍吻戏时对方胡思乱想怎么办?杨紫我有办法治他现在的电视剧,特别是爱情片,年轻人卿卿我我也就算了,关键还有很多吻戏的镜头。一家人吃饭,父母也在,遇到这样的镜头就无比难受,每个人都低着头默默夹菜,装作没看见。真的好尴尬。特别再有央视春晚主持人名单公布,董卿再度缺席那些过往,还历历在目1月16日,2023年央视春晚主持人名单公布了。此次主持人分别是任鲁豫撒贝宁尼格买提龙洋马凡舒,以及王嘉宁。很遗憾,依然没有董卿。不出所料,网友炸了。话题想周涛董卿朱迅迅速冲上热搜钟欣潼2023。1。18,北京,钟欣潼,微博音乐盛典红毯微笑甜蜜,自然浪漫。2019。12。9,台北不愧为明星,完美。钟欣潼(阿娇GillianChung),曾用名钟欣桐,1981年1月