加入收藏 | 设为首页 | 会员中心 | 我要投稿 PHP编程网 - 黄冈站长网 (http://www.0713zz.com/)- 数据应用、建站、人体识别、智能机器人、语音技术!
当前位置: 首页 > 服务器 > 安全 > 正文

怎么在Linux中为SSH启用多因素身份验证

发布时间:2022-06-07 16:05:24 所属栏目:安全 来源:互联网
导读:介绍 安全无小事。随着入侵事件数量与日俱增,据估计,到2025年,网络犯罪将给企业带来10.5万亿美元的损失。 SSH,即Secure Shell,它是一种网络协议,允许用户连接到远程机器(服务器)并访问资源。 SSH协议实现了两种安全类型,即基于密码的身份验证和基于密
  介绍
  安全无小事。随着入侵事件数量与日俱增,据估计,到2025年,网络犯罪将给企业带来10.5万亿美元的损失。
 
  
  SSH,即Secure Shell,它是一种网络协议,允许用户连接到远程机器(服务器)并访问资源。
 
  SSH协议实现了两种安全类型,即基于密码的身份验证和基于密钥的身份验证。
 
  与基于密码的身份验证相比,一般认为基于密钥的(公共->私有)身份验证更为安全,因此大多数SSH强化说明更建议禁用基于密码的身份验证,只启用基于密钥的身份验证。
 
  但无论选择哪种身份验证机制,我们都可以通过实现多因素身份验证设置来提高SSH的安全性。
 
  什么是多因素身份验证?
  多因素身份验证(MFA)是一种安全的认证过程,它需要从独立的凭证类别中选择多种认证技术。
  
  安装谷歌身份验证器
  首先通过playstore/Itunes在Android或IOS设备上安装Google Authenticator 应用程序。
 
  现在,在Linux系统上安装Google Authenticator应用程序。
 
  根据发行版本,运行以下安装命令。
 
  在Ubuntu及其衍生发行版中,运行以下命令:
 
  复制
  $ sudo dnf install google-authenticator -y
 
  1.
  在基于RHEL的发行版中,运行以下命令:
 
  复制
  $ sudo dnf install google-authenticator -y
 
  1.
  对基于Arch 的发行版,运行以下命令;
 
  复制
  $ sudo pacman -S libpam-google-authenticator
 
  1.
  为用户生成初始令牌
  作为设置MFA的第一步,你必须从终端运行以下命令。这将通过生成TOTP密钥来完成初始设置。此密钥适用于运行命令的用户,并不适用于系统中的所有用户。
 
  复制
  $ google-authenticator
 
  1.
  在某些步骤中,系统会提示你使用 (y/n) 选项。
 
  第1步:它将提示你选择基于时间的身份验证令牌。基于时间的身份验证令牌将每30秒生成一个新代码。 按“y”继续。
 
 
 
  运行Google身份验证器命令
 
  第2步:秘密令牌将与二维码一起生成。打开Google Authenticator移动应用程序,扫描二维码或手动键入密钥来注册设备。完成后,现在应用程序将开始每30秒生成一次令牌。
 
 
 
  密钥和验证码
 
  第3步:在这一步中,它将提示你更新在主目录下的google_authenticator文件。所有的密钥、验证码、紧急刮擦码都保存在这个文件中。按“y”继续。
 
 
 
  更新google_authenticator文件
 
  第 4 步:若在这一步中选择“y”,令牌在进行身份验证后将立即过期。在这种情况下,即使一些黑客得到了你的令牌也会过期。
 
 
 
  禁止多次使用相同的身份验证
 
  第 5 步:这一步决定允许使用令牌个数以及时间范围。当选择“n”时,它将允许在90秒的窗口内使用3个令牌。如果我按“y”,它将在240秒的时间窗口内允许17个令牌。
 
 
 
  令牌数量
 
  第 6 步:此步骤将要求你启用速率限制。速率限制允许攻击者每30秒仅尝试3次登录尝试。如果令牌错误,那么他们必须等待N次重试。
 
 
 
  限速
 
  我们已经完成了第一步。打开文件~/.google_authenticator,你可以找到这些步骤做的所有设置和密码。
 
  复制
  $ cat ~/.google_authenticator
 
  1.
 
 
  查看 google_authenticator 设置
 
  你还可以将参数传递给google-authenticator命令,该命令将创建密钥和其他设置,而无需执行这一系列步骤。
 
  复制
  $ google-authenticator -q -t -d -f -r 3 -R 30 -w 3
 
  1.
  请参阅 google-authenticator help部分,了解这些参数的作用。
 
  复制
  $ google-authenticator --help
 
  1.
 
 
  显示 google-authenticator help部分
 
  为多因素身份验证配置 SSH
  在使用MFA前,我们必须对 openSSH 进行一些配置更改。
 
  注:
 
  最佳实践总是要求在任何更改之前备份配置文件。如果出现任何问题,还有恢复更改的余地。
 
  那么在更改SSH配置文件时,请确保单独打开一个会话,这样你就不会将自己锁在外面了。
 
  运行以下命令来备份SSH配置文件。

(编辑:PHP编程网 - 黄冈站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的优质浏览效果

        Copygight © 2013-2023 http://www.0713zz.com/ All Rights Reserved. PHP编程网 - 黄冈站长网

        ICP备案:浙ICP备07501134号 浙公网安备 33038102330482号