默認(rèn)情況下，SSH已經(jīng)在遠(yuǎn)程機(jī)器之間使用安全的數(shù)據(jù)通信;但是如果你想為自己的SSH連接添加另外某種安全層，可以添加谷歌身份驗(yàn)證器(Google Authenticator)雙因子驗(yàn)證模塊，該模塊讓你可以在連接到SSH服務(wù)器時(shí)，輸入一個(gè)隨機(jī)的一次性密碼(TOTP)驗(yàn)證碼。你在連接時(shí)，就得從智能手機(jī)或個(gè)人電腦輸入這個(gè)驗(yàn)證碼。

谷歌身份驗(yàn)證器是一種開(kāi)源模塊，實(shí)施了由谷歌開(kāi)發(fā)的一次性通行碼(TOTP)驗(yàn)證令牌。除了PAM(可插入驗(yàn)證模塊)外，它還支持幾種移動(dòng)平臺(tái)。這些一次性通行碼是使用OATH(開(kāi)放驗(yàn)證組織)制定的開(kāi)放標(biāo)準(zhǔn)生成的。

SSH雙因子驗(yàn)證

我在本文中將為大家介紹如何在紅帽、CentOS、Fedora、Ubuntu、Linux Mint和Debian等系統(tǒng)環(huán)境下，建立和配置SSH，以實(shí)現(xiàn)雙因子驗(yàn)證機(jī)制。

安裝谷歌身份驗(yàn)證器模塊

打開(kāi)你想建立雙因子驗(yàn)證機(jī)制的那個(gè)機(jī)器，安裝下列PAM庫(kù)以及PAM模塊與谷歌身份驗(yàn)證器模塊順利協(xié)同運(yùn)行所需要的開(kāi)發(fā)庫(kù)。

在紅帽、CentOS和Fedora等系統(tǒng)上，安裝‘pam-devel’安裝包。

# yum install pam-devel make gcc-c++ wget

在Ubuntu、Linux Mint和Debian等系統(tǒng)上，安裝‘libpam0g-dev’安裝包。

# apt-get install libpam0g-dev make gcc-c++ wget

下載谷歌身份驗(yàn)證器模塊，并解壓縮到Home目錄下(假設(shè)你已經(jīng)登錄到根目錄的home目錄)。

# cd /root

# wget https://google-authenticator.googlecode.com/files/libpam-google-authenticator-1.0-source.tar.bz2

# tar -xvf libpam-google-authenticator-1.0-source.tar.bz2

輸入下列命令，在系統(tǒng)上編譯和安裝谷歌身份驗(yàn)證器模塊。

# cd libpam-google-authenticator-1.0

# make

# make install

# google-authenticator

一旦你運(yùn)行了‘google-authenticator’命令，它會(huì)向你提示一系列問(wèn)題。在大多數(shù)情況下，只要輸入‘y’(yes)作為答案。要是出了什么問(wèn)題，你可以再次輸入‘google-authenticator’命令，以便重置設(shè)置。

◦你希望驗(yàn)證令牌基于時(shí)間嗎(y/n)?y

在這個(gè)問(wèn)題之后，你會(huì)獲得你的“密鑰”和“應(yīng)急驗(yàn)證碼”。把這些詳細(xì)信息記在某個(gè)地方，以后我們?cè)诎惭b谷歌身份驗(yàn)證器應(yīng)用程序時(shí)要用到“密鑰”。

[root@tecmint libpam-google-authenticator-1.0]# google-authenticator

Do you want authentication tokens to be time-based (y/n) y

https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/root@tecmint.com%3Fsecret%3DXEKITDTYCBA2TLPL

Your new secret key is: XEKITDTYCBA2TLPL

Your verification code is 461618

Your emergency scratch codes are:

65083399

10733609

47588351

71111643

92017550

#p#

下一步，按安裝向?qū)У奶崾具M(jìn)行操作。在大多數(shù)情況下，只要輸入‘y’(yes)作為答案，如下所示。

Do you want me to update your "/root/.google_authenticator" file (y/n) y

你希望我更新你的“/root/.google_authenticator”文件嗎(y/n)?y

Do you want to disallow multiple uses of the same authentication

token? This restricts you to one login about every 30s, but it increases

your chances to notice or even prevent man-in-the-middle attacks (y/n) y

你希望禁止多次使用同一個(gè)驗(yàn)證令牌嗎?這限制你每次登錄的時(shí)間大約是30秒，

但是這加大了發(fā)現(xiàn)或甚至防止中間人攻擊的可能性(y/n)?y

By default, tokens are good for 30 seconds and in order to compensate for

possible time-skew between the client and the server, we allow an extra

token before and after the current time. If you experience problems with poor

time synchronization, you can increase the window from its default

size of 1:30min to about 4min. Do you want to do so (y/n) y

默認(rèn)情況下，令牌保持30秒有效;為了補(bǔ)償客戶機(jī)與服務(wù)器之間可能存在的時(shí)滯，

我們?cè)试S在當(dāng)前時(shí)間前后有一個(gè)額外令牌。如果你在時(shí)間同步方面遇到了問(wèn)題，

可以將窗口從默認(rèn)大小即1分30秒加大到約4分。你希望這么做嗎(y/n)?y

If the computer that you are logging into isn't hardened against brute-force

login attempts, you can enable rate-limiting for the authentication module.

By default, this limits attackers to no more than 3 login attempts every 30s.

Do you want to enable rate-limiting (y/n) y

如果你登錄的那臺(tái)計(jì)算機(jī)沒(méi)有經(jīng)過(guò)固化，以防范運(yùn)用蠻力的登錄企圖，可以對(duì)驗(yàn)證模塊

啟用嘗試次數(shù)限制。默認(rèn)情況下，這限制攻擊者每30秒試圖登錄的次數(shù)只有3次。

你希望啟用嘗試次數(shù)限制嗎(y/n)?y

配置SSH，以便使用谷歌身份驗(yàn)證器模塊

打開(kāi)PAM配置文件‘/etc/pam.d/sshd’，把下面這行添加到該文件的頂部。

auth required pam_google_authenticator.so

下一步，打開(kāi)SSH配置文件‘/etc/ssh/sshd_config’，精細(xì)滾動(dòng)，找到顯示下面內(nèi)容的這一行：

ChallengeResponseAuthentication no

把它更改成“yes”。所以，它現(xiàn)在變成了這樣子：

ChallengeResponseAuthentication yes

最后，重啟SSH服務(wù)，以便讓新的變更生效。

# /etc/init.d/sshd restart

#p#

配置谷歌身份驗(yàn)證器應(yīng)用程序

在智能手機(jī)中運(yùn)行谷歌身份驗(yàn)證器應(yīng)用程序。摁Menu(菜單)，選擇“Setup an account”(建立一個(gè)帳戶)。如果你沒(méi)有這個(gè)應(yīng)用程序，可以下載谷歌身份驗(yàn)證器應(yīng)用程序(http://support.google.com/accounts/bin/answer.py?hl=en&answer=1066447)，并安裝到你的安卓/iPhone/黑莓設(shè)備上。

谷歌身份驗(yàn)證器建立帳戶

摁“Enter key provided”(輸入提供的密鑰)。

輸入谷歌身份驗(yàn)證器密鑰

添加你的帳戶“Name”(名稱)，輸入之前生成的“密鑰”。

谷歌身份驗(yàn)證器帳戶名稱和密鑰

它會(huì)生成一次性密碼(驗(yàn)證碼)，該一次性密碼在你的手機(jī)上每30秒就會(huì)不斷變化。

谷歌身份驗(yàn)證器一次性密碼

現(xiàn)在試著通過(guò)SSH進(jìn)行登錄，你會(huì)發(fā)現(xiàn)：每當(dāng)你試圖通過(guò)SSH進(jìn)行登錄，系統(tǒng)會(huì)提示你輸入谷歌身份驗(yàn)證器代碼(驗(yàn)證碼)和密碼。你只有30秒的時(shí)間來(lái)輸入這個(gè)驗(yàn)證碼;要是錯(cuò)過(guò)了時(shí)間，它會(huì)重新生成新的驗(yàn)證碼。

login as: tecmint

Access denied

Using keyboard-interactive authentication.

Verification code:

Using keyboard-interactive authentication.

Password:

Last login: Tue Apr 23 13:58:29 2013 from 172.16.25.125

[root@tecmint ~]#

如果你沒(méi)有智能手機(jī)，還可以使用一個(gè)名為GAuth Authenticator的火狐插件(https://marketplace.firefox.com/app/gauth-authenticator/)，實(shí)現(xiàn)雙因子驗(yàn)證。

這點(diǎn)很重要：雙因子驗(yàn)證與基于密碼的SSH登錄配套使用。要是你使用任何私鑰/公匙SSH會(huì)話，它會(huì)忽視雙因子驗(yàn)證，讓你直接登錄進(jìn)去。

原文地址：http://www.tecmint.com/ssh-two-factor-authentication/