ssh登陆基于Google Authenticator实现双因素认证

2018-01-22

字数统计: 1.6k字 | 阅读时长≈ 6分

介绍

1	简单说，就像我们几年前去银行办卡送的口令牌，以及网易游戏中的将军令，在你使用网银或登陆游戏时会再让你输入动态口令的。

双因素认证：双因素身份认证就是通过你所知道再加上你所能拥有的这二个要素组合到一起才能发挥作用的身份认证系统。双因素认证是一种采用时间同步技术的系统，采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥，该密钥同时存放在服务器端，每次认证时动态密码卡与服务器分别根据同样的密钥，同样的随机参数（时间、事件）和同样的算法计算了认证的动态密码，从而确保密码的一致性，从而实现了用户的认证。因每次认证时的随机参数不同，所以每次产生的动态密码也不同。由于每次计算时参数的随机性保证了每次密码的不可预测性，从而在最基本的密码认证这一环节保证了系统的安全性。

目的

1	实现登录Linux 服务器时，除了输入用户名密码外，需要输入一次性的动态口令才能验证成功。当然也可以实现ssh密钥登陆+动态口令

部署

安装chrony

1
2
3

生成动态口令的其中一个因素是时间，需要保持终端设备和服务器的系统时间一致，才能生成同一的动态口令

简单说下chrony：chrony 是网络时间协议的（NTP）的另一种实现，与网络时间协议后台程序（ntpd）不同，它可以更快地更准确地同步系统始终。

NTP中国授时中心

安装
yum install -y chrony

配置
vim /etc/chrony.conf
server 0.cn.pool.ntp.org iburst

启动
systemctl restart chronyd
chronyc sources

验证
[root@localhost ~]# date
2016年 12月 31日 星期六 09:30:24 CST

安装依赖组件

1	yum install -y git automake libtool pam-devel

下载Google认证模块

git clone https://github.com/google/google-authenticator-libpam.git
cd google-authenticator-libpam/
./bootstrap.sh
./configure
make && make install

修改sshd支持pam

vim /etc/pam.d/sshd

在首行添加如下:
auth       required     pam_google_authenticator.so

配置ssh

vim /etc/ssh/sshd_config

添加或修改以下内容:
ChallengeResponseAuthentication yes
UsePAM yes

systemctl restart sshd

生成Google authenticator配置

[root@localhost ~]# google-authenticator

Do you want authentication tokens to be time-based (y/n) y
#你想做的认证令牌是基于时间的吗？
Warning: pasting the following URL into your browser exposes the OTP secret to Google:
https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/root@localhost.localdomain%3Fsecret%3DN4HLEJOQHT27VCR6RX66WXB2SY%26issuer%3Dlocalhost.localdomain
注：上面的URL是生成的二维码链接，稍后客户端需要用到

Your new secret key is: N4HLEJOQHT27VCR6RX66WXB2SY
Your verification code is 299695
Your emergency scratch codes are:

  44477086
  92790948
  29251218
  26350870
  30696065
注：上面列出的几个字符串是应急码，如果客户端无法使用，可以使用应急码登陆，所以务必妥善保管！

Do you want me to update your "/root/.google_authenticator" file? (y/n) y
#你希望我更新你的“/root/.google_authenticator”文件吗(y/n)？

Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y
#你希望禁止多次使用同一个验证令牌吗?这限制你每次登录的时间大约是30秒， 但是这加大了发现或甚至防止中间人攻击的可能性(y/n)?

By default, a new token is generated every 30 seconds by the mobile app.
In order to compensate for possible time-skew between the client and the server,
we allow an extra token before and after the current time. This allows for a
time skew of up to 30 seconds between authentication server and client. If you
experience problems with poor time synchronization, you can increase the window
from its default size of 3 permitted codes (one previous code, the current
code, the next code) to 17 permitted codes (the 8 previous codes, the current
code, and the 8 next codes). This will permit for a time skew of up to 4 minutes
between client and server.
Do you want to do so? (y/n) y
#默认情况下，令牌保持30秒有效;为了补偿客户机与服务器之间可能存在的时滞，
我们允许在当前时间前后有一个额外令牌。如果你在时间同步方面遇到了问题， 可以增加窗口从默认的3个可通过验证码增加到17个可通过验证码，
这将允许客户机与服务器之间的时差增加到4分钟。你希望这么做吗(y/n)?

If the computer that you are logging into isn't hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting? (y/n) y
#如果你登录的那台计算机没有经过固化，以防范运用蛮力的登录企图，可以对验证模块
启用尝试次数限制。默认情况下，这限制攻击者每30秒试图登录的次数只有3次。 你希望启用尝试次数限制吗(y/n)?

1	注：创建后在家目录下有个隐藏文件为.google-authenticator的文件，记住第一行私钥，手机客户端会用到

手机安装Google Authenticator客户端

1	运行后，添加 --> 手动输入验证码 --> 账户：随意定一个英文名字，最好“见名知意” -->密钥: 复制粘贴$HOME/.google-authenticator隐藏配置文件中的首行密钥

登陆验证

注意，第一次登录可能会出现登录失败的情况，查看日志信息显示错误如下：
tail -n10 /var/log/secure

/usr/lib64/security/pam_google_authenticator.so: cannot open shared object file: No such file or directory

解决方法：
ln -sv /usr/local/lib/security/pam_google_authenticator.so /usr/lib64/security/pam_google_authenticator.so

[root@controler ~]# ssh 10.0.10.24
Verification code:            #此处输入手机的动态口令
Password:                     #此处输入服务器密码
Last login: Mon Jan 22 13:46:31 2018 from 10.0.10.11

本文作者： GaryWu
本文链接： https://garywu520.github.io/2018/01/22/ssh登陆基于Google-Authenticator实现双因素认证/
版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！

jsonContent: meta: false pages: false posts: title: true date: true path: true text: false raw: false content: false slug: false updated: false comments: false link: false permalink: false excerpt: false categories: false tags: true