為了鼓勵廣泛采用雙因子認證的方式,Google公司發布了Google Authenticator,一款開源的,可基於開放規則(如 HMAP/基於時間)生成一次性密碼的軟件。這是一款跨平台軟件,可運行在Linux, Android, iOS。Google公司同時也支持插件式鑒別模塊PAM(pluggable authentication module),使其能和其他也適用PAM進行驗證的工具(如OpenSSH)協同工作。
在本教程中,我們將敘述集成OpenSSH和Google提供的認證器實現如何為SSH服務設置雙因子認證。我將使用一款Android設備來生成一次性密碼,本教程中需要兩樣武器:(1)一台運行著OpenSSH服務的Linux終端,(2)一台安卓設備。
在Linux系統中安裝Google Authenticator
第一步需要在運行著OpenSSH服務的Linux主機上安裝Google認證器。按照如下步驟安裝Google認證器及其PAM模塊。
用安裝包安裝 Google Authenticator
如果你不想自己構建 Google Authenticator,在幾個 Linux 發行版上有已經編譯好的安裝包。安裝包裡面包含 Google Authenticator 二進制程序和 PAM 模塊。
在 Ubuntu 上安裝 Google Authenticator:
- $ sudo apt-get install libpam-google-authenticator
在 Fedora 上安裝 Google Authenticator:
- $ sudo yum install google-authenticator
在 CentOS 上安裝 Google Authenticator ,需要首先啟用 EPEL 軟件庫,然後運行如下命令:
- $ sudo yum install google-authenticator
如果不想使用已經編譯好的安裝包,或者你的 Linux 發行版不在此列,可以自行編譯:
在 Linux 上 Google Authenticator
首先,安裝構建 Google Authenticator 所需的軟件包。
在 Debian、 Ubuntu 或 Linux Mint 上:
- $ sudo apt-get install wget make gcc libpam0g-dev
在 CentOS、 Fedora 或 RHEL上:
- $ sudo yum install wget make gcc pam-devel
然後下載 Google Authenticator 的源代碼,並按如下命令編譯。
- $ wget https://google-authenticator.googlecode.com/files/libpam-google-authenticator-1.0-source.tar.bz2
- $ tar xvfvj libpam-google-authenticator-1.0-source.tar.bz2
- $ cd libpam-google-authenticator-1.0
- $ make
如果構建成功,你會在目錄中看到 pamgoogleauthenticator.so 和 google-authenticator 兩個文件。
最後,將 Google Authenticator 安裝到合適位置
- $ sudo make install
排錯
當編譯 Google Authenticator 時出現如下錯誤:
- fatal error: security/pam_appl.h: No such file or directory
要修復這個問題,請安裝如下依賴包。
在 Debian、 Ubuntu 或 Linux Mint 上:
- $ sudo apt-get install libpam0g-dev
在 CentOS、 Fedora 或 RHEL 上:
- $ sudo yum install pam-devel
當Google認證器安裝好後,你需要在Linux主機上創建驗證密鑰,並且在安卓設備上注冊,注意這項配置操作是一次性的。我們將詳細敘述如何完成這些操作:
生成驗證密鑰
在Linux主機上運行Google認證器
- $ google-authenticator
你將看到一個QR碼,它使用如下圖形表示我們數字形態的密鑰。一會我們要用到它在安卓設備上完成配置。
Google認證器會問一些問題,如果你不確定,就回答"Yes"。這個應急備用驗證碼(圖中 emergency scratch codes)可以在你由於丟失了綁定的安卓設備的情況下(所以不能得到生成的一次性密碼)恢復訪問。最好將應急備用驗證碼妥善保存。
在安卓設備上運行Google認證器
我們需要在安卓設備上安裝Google Authenticator app才能完成雙因子認證,到Google Play下載並安裝一個。在安卓設備上運行Google認證器,找到下圖所示中的配置菜單。
你可以選擇"Scan a barcode" 或者"Enter provided key"選項。"Scan a barcode"允許你掃描QR碼來完成密鑰的輸入,在此可能需要先安裝掃描軟件Barcode Scanner app。如果選擇"Enter provided key"選項,你可以使用鍵盤輸入驗證密鑰,如下圖所示:
無論采用上述兩種選項的任何方式,一旦成功,你將看到注冊成功提示和一次性密碼,如下圖所示:
為SSH服務器用Google認證器
最終我們需要修改兩個文件來完成集成Google認證器和OpenSSH服務這臨門一腳。
首先,修改PAM配置文件,命令和需添加的內容如下:
- $ sudo vi /etc/pam.d/sshd
- auth required pam_google_authenticator.so
然後打開SSH配置文件,找到參數ChallengeResponseAuthentication,並啟用它。
- $ sudo vi /etc/ssh/sshd_config
ChallengeResponseAuthentication yes
最後,重啟SSH服務。
在 Ubuntu、 Debian 和 Linux Mint 上:
- $ sudo service ssh restart
在Fedora (或 CentOS/RHEL 7)上:
- $ sudo systemctl restart sshd
在CentOS 6.x或 RHEL 6.x上:
- $ sudo service sshd restart
驗證雙因子認證
在綁定的安卓設備上運行Google認證器,獲得一個一次性驗證碼,該驗證碼30秒內有效,一旦過期,將重新生成一個新的驗證碼。
現在和往常一樣,使用SSH登錄終端
- $ ssh user@ssh_server
當提示你輸入驗證碼的時候,輸入我們剛獲得的驗證碼。驗證成功後,再輸入SSH的登錄密碼。
雙因子認證通過在用戶密碼前新增一層來有效的保護我們脆弱的用戶密碼。你可以使用Google認證器來保護我們其他的密碼,如Google賬戶, WordPress.com, Dropbox.com, Outlook.com等等。是否使用這項技術,取決於我們自己,但采用雙因子認證已經是行業的大趨勢了。謝謝閱讀,希望能幫到大家,請繼續關注網管之家,我們會努力分享更多優秀的文章。