上善若水AV·2016-02-28 18:35
架构师(WanZhuanBangHui) 我们都是架构师!
安装依赖环境
yum install gcc wget pam-devel libpng-devel libtool
安装git及二维码工具
yum install -y git qrencode
安装google-authenticator
gitclonehttps://github.com/google/google-authenticator.git
cdgoogle-authenticatorbpam
./bootstrap.sh
./configure
make&&makeinstall
cp/usr/localbcurity/pam_google_authenticator.sob64curity/
修改PAM,SSH登录时调用google-authenticator模块
编辑/etc/pam.d/sshd文件,在第一行添加如下代码
auth required pam_google_authenticator.so
编辑 /etc/ssh/sshd_config 文件,修改如下内容
ChallengeResponseAuthentication yes \\启用其它认证
UsePAM yes \\启用UsePAM模块
重启 sshd
/etc/init.d/sshd restart
配置google authentication 生成基于计数的认证token(可以忽略时间错误
参数:
-c, –counter-based 基于计数器生成动态码(可以忽略时间差错误)
-t, –time-based基于时间生成动态码
-R, –rate-time=M设置登录频率限制的时间间隔
-w, –window-size=W 设置时间窗的大小,主要在移动设备的时间不是准确同步的情况下比较有用
交互式命令google-authenticator 生成token,可以一直按y,如果特殊需要可以自行修改
google-authenticator
Do you want authentication tokens to be time-based (y/n): n
是否基于时间生成动态码,n是基于计数器
此时会生成一个很大的二维码,和手机客户端登录的密钥和5个应急码,手机客户端扫描二维码就可以直接自动添加当前账户
Do you want me to update your "/root/.google_authenticator" file (y/n):y
应急码的保存路径
increased from its default size of 3 to 17. Do you want to do so (y/n):y
Do you want to enable rate-limiting (y/n):y
登录次数限制,30s内只允许3次错误
/root/.google_authenticator 手机密钥和应急码保存路径
Your verification code is 582849 手机客户端登录的密钥
Your emergency scratch codes are: 一些生成的5个应急码,每个应急码只能使用一次
此时再登录服务器,按照提示选择“keyboard Interactive”
根据提示需要verification code,输入手机客户端对应的6位数字(注意:动态码的有效时间为5s,so动作要快)
然后再输入服务器密码即可登录
来源:行 者
原文:http://liumissyou.blog.51cto.com/4828343/1716727
转载文章,向原作者致敬!如有侵权或不周之处,敬请劳烦联系若飞(微信:1321113940)马上删除,谢谢!
·END·
架构师
I 相关 / Other
英文全名Hap and Leonard,第1季(2016)SundanceTV.
本季看点:《海普与雷纳德》定于美国时间3月2日首播,
英文全名The Real O’Neals,第1季(2016)ABC.
本季看点:《出柜家庭》Dan Savage的半自传喜剧。围绕
几个分布式基础算法abbey_chenxi·2016-02-28 18:35 架构师(WanZhuanBangHui) 我们都是架构师!研究
以市场独大地位不当使用用户资料? Facebook在德国面临垄断调查
德国联邦政府防垄断审查办公室(Federal Cartel Office,或Bundeskartellamt)表示将对脸书(Facebook)美国、爱