就跟银行账户登录需要手机短信或者令牌进行二次验证一样,给企业的业务电脑配置远程ssh登录的二次验证也是一个非常必要的安全措施,这样即使坏人知道了访问密码也无法登录机器。这篇文章就记录下今天我给一台机器添加Google Authenticator做为二次验证的步骤以及无法验证的查错和解决方案,同时在最后从系统管理员角度出发给出一点自己的安全小建议。


文章目录

  • 操作环境
  • Google Authenticator
  • 服务端安装和配置
  • 手机端配置
  • Xshell登录验证
  • 疑难杂症
  • 时间不同步怎么办
  • 换了手机怎么办
  • 生产环境应用
  • 多用户机器
  • 跳板机


操作环境

  • Centos7
  • 手机下载Google Authenticator(
  • Xshell

Google Authenticator

谷歌推出的手机端二次验证app,和服务器程序配合使用。服务器安装配置完毕后会显示一串key,手机上通过这串key就可以创建一条身份记录,该条记录产生的6位数动态密钥只能用作对应服务器的登录二次验证。

hanlp auth密钥提供 authenticator密钥怎么用_Google

基于时间的动态密钥

Google Authenticator是基于时间的动态密钥,其产生原理可以大概描述如下,服务器端和客户端都通过一段相同的key,加上当前时间,经过某种相同的算法产生动态密钥,每30秒进行一次计算。当进行登录时,如果输入的客户端的密钥和服务端当前维护的密钥一致则通过验证。

所以想要进行成功验证,必须要同时满足两个条件

  • 服务端和手机端的key相同
  • 服务端和手机端的时间要同步到分钟级别

不泄露生成密钥的key是不被他人模拟动态密钥的关键。

服务端安装和配置

下面开始正式安装,我这里的安装环境是centos7。

安装Google Authenticator

[root@ocservtest ~]# yum list | grep google-authenticator
google-authenticator.x86_64              1.04-1.el7                    @epel

直接yum安装即可

[root@ocservtest ~]# yum install google-authenticator

配置Google Authenticator

安装完直接跑下面的命令进行配置,注意只在当前用户生效

[root@ocservtest ~]# google-authenticator

之后会需要确认几点信息

Do you want authentication tokens to be time-based (y/n) y

是否配置基于时间的动态密钥,选择y,之后会出现超级大一个二维码,下面还会有一些小字

hanlp auth密钥提供 authenticator密钥怎么用_服务端_02

这里的key就是用于配置手机端app的,我们先保存下来,不用慌,因为这个key随时都可以查得到

Do you want me to update your "/root/.google_authenticator" file? (y/n) y

是否将配置信息更新到自己家目录,选择y进行更新,这个文件里面就保存着上面的key信息,以防后续还有新的手机设备需要用到key

Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y

是否禁止同一密钥在30秒内被多次使用,如果想要更安全就选择y,如果想要更方便就选择n

By default, a new token is generated every 30 seconds by the mobile app.
In order to compensate for possible time-skew between the client and the server,
we allow an extra token before and after the current time. This allows for a
time skew of up to 30 seconds between authentication server and client. If you
experience problems with poor time synchronization, you can increase the window
from its default size of 3 permitted codes (one previous code, the current
code, the next code) to 17 permitted codes (the 8 previous codes, the current
code, and the 8 next codes). This will permit for a time skew of up to 4 minutes
between client and server.
Do you want to do so? (y/n) n

是否允许前8次和后8次的动态密钥也有效,如果客户端和手机端都是基于网络的时间同步,选择n提高安全性

If the computer that you are logging into isn't hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting? (y/n) y

是否限制30秒内最多3次尝试,为了防止恶意试错,选择y

这样服务端的Google Authenticator就配置完毕。下面做一些系统设置,使上面的配置用作ssh。

配置pam

下面编辑/etc/pam.d/sshd这个pam中控制ssh验证的文件

[root@ocservtest ~]# vim /etc/pam.d/sshd

在最后面加上这么一句,添加二次验证

auth required pam_google_authenticator.so

保存退出

修改ssh配置

接着修改ssh的配置文件/etc/ssh/sshd_config

[root@ocservtest ~]# vim /etc/ssh/sshd_config

修改下面几个地方,允许二次验证

ChallengeResponseAuthentication yes
UsePAM yes

出于安全考虑不建议root直接登录,不过如果是系统管理员,还记得打开root登录开关。

重启ssh服务

[root@ocservtest ~]# systemctl restart sshd

至此,服务端配置全部完毕。

手机端配置

手机端的配置就简单得多,打开app,点击右下角的加号,选择密钥方式输入key

hanlp auth密钥提供 authenticator密钥怎么用_Google_03

然后将刚才保存下来的key填进去,并起一个跟登陆设备易识别的名字

hanlp auth密钥提供 authenticator密钥怎么用_手机端_04

成功添加以后就会出现6位数的动态密钥了,注意箭头的地方是个计时器,每30秒转一圈提醒你还有多久过期

hanlp auth密钥提供 authenticator密钥怎么用_手机端_05

Xshell登录验证

下面还是正常ssh登陆服务器,不过输入完用户名以后在这里选择交互键盘

我这里是用的密码登录,如果是密钥验证的话这里会有点不同

hanlp auth密钥提供 authenticator密钥怎么用_手机端_06

之后输入密码,点击下一步就会要求你输入动态密钥了

hanlp auth密钥提供 authenticator密钥怎么用_Google_07

查看下手机,输入6位数密钥,成功登录服务器。

疑难杂症

下面说一下无法成功登录的一些常见问题。首先关于登录的一些报错都在/var/log/secure这个日志文件中,不管是什么场景登陆失败都可以先查看下失败日志,对症下药。

时间不同步怎么办

基本上正确配置下还登陆失败,只有时间不同步这一个原因了。可以手动修改下时间或者配置时间同步

手动修改时间

想临时修改下时间验证下是不是时间没同步导致的,就可以进行date -s xx操作,例如

date -s 15:32

就是将服务器时间修改到下午3点32.

如果日期也不对,就按照下面的格式修改

date -s "YYYY-MM-DD hh:mm[:ss]

例如

date -s "2020-07-08 15:32:00"

如果成功解决了问题,就可以将时间写入BIOS避免重启失效

hwclock -w

网络时间同步

直接使用ntpdate即可,国内可以使用国家授时中心的地址

ntpdate -u 210.72.145.44

基本上服务器和手机都是用的网络时间就不太会有时间同步的问题。

换了手机怎么办

如果换了手机也很容易,登录到服务器,找到~/.google_authenticator文件,注意这是个隐藏文件,不要漏掉点号。里面会有之前保存的key,重新在新手机进行添加即可。

生产环境应用

下面是从我自身工作经验角度总结一些使用场景,供大家参考。

多用户机器

这种情况一般是管理员用root登录,然后分别切换到各个账号进行操作,因为步骤都是重复的,所以用脚本可以很轻易的完成。只需要将带有key的操作日志保留下来发给个人即可。

例如自动交互配置的部分可以在脚本中像下面这样实现

google-authenticator << EOF
> y
> y
> y
> n
> y
> EOF

但是设备通常很多,每一台都这么操作实在是耗费时间,所以往往会用到跳板机。

跳板机

顾名思义就是用来登陆其他机器的一台中间桥梁,所有的设备不允许外网登录,都只能通过跳板机登录后再内网可达,便于集中统一管理登录权限。

hanlp auth密钥提供 authenticator密钥怎么用_Google_08

这样只需要在跳板机上配置Google Authenticator即可。

当然,还可以在跳板机上配置数据库保存用户的用户名和密码哈希值以及能访问的设备等等信息,这里就不展开了。

我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。