堡垒机安装google-authenticator

巴扎黑

发布时间：2017-06-23 14:34:31

3510人浏览过

来源于php中文网

原创

　　公司线上的使用机器不能让用户随意的登陆，所以就不能让开发随意的登陆到生产的机器的。于是就打算使用google-auth的验证方式呢。

　　如果google-auth的方式。

　搭建google-authenticator:

　　搭建这个很简单，如下：

　　git clone 下载最新的google auth 最新版。

　　cd google-authenticator-libpam/

　　./bootstrap.sh

　　./configure && make && make install

　　ln -s /usr/local/lib/security/pam_google_authenticator.so /lib64/security/pam_google_authenticator.so

　　修改/etc/pam.d/sshd,

　　#最上方加一行 "auth required pam_google_authenticator.so"
　 #这个配置可以更复杂一些，加上一些参数，详见 libpam/README
　#注：如果遇到仍然需要输入密码的情况，改成 "auth sufficient pam_google_authenticator.so" 试试。

　　修改/etc/ssh/sshd_config

　　将 ChallengeResponseAuthentication 选项的 no 改成 yes

　　将 UsePAM yes

Woy AI

通过 Woy.ai AI 导航站发现 2024 年顶尖的 AI 工具！

下载

　　service sshd restart

　　生成密钥

　　$ google-authenticator #注：运行这个命令的是需要登录的用户，不是root用户
　　Do you want authentication tokens to be time-based (y/n) y （确认：基于时间的认证token）
　　【这里会显示生成二维码的地址、二维码、密钥明文、应急码】
　　Do you want me to update your "/var/www/.google_authenticator" file (y/n) y （确认：更新配置文件）
　　......
　　size of 1:30min to about 4min. Do you want to do so (y/n) n （token有效期是1.5min，选y就是4min）
　　......
　　Do you want to enable rate-limiting (y/n) y （30s内只允许尝试三次）

　　在app里扫二维码，或者手动输入密钥，即可看到token每隔30s更新一次了

　　尝试登录
　　$ ssh localhost
　　verification code: 【输入验证码】
　　password: 【输入密码】

补：

但当时只是简单加上了Google Authenticator，实际使用中既要输入验证又要输入密码，太繁琐了，所以在搭建我司跳板机的时候，选择了用 publickey + authenticator 的方案，只需要输入一次验证码即可。但是这里要求很多。如openssh的版本大于6.2，如果不是的话，就无法使用AuthenticationMethods，最好的方式是使用centos7的版本（已验证过可以使用）centos6.5测试无法使用（应该是我技术不行）。

具体的配置方案变化不大，主要是用上了 SSH 6.2+ 新增的 AuthenticationMethods 参数，可以指定一系列验证方法，具体配置如下：

引用

#默认需要先用publickey验证，再用验证码
AuthenticationMethods publickey,keyboard-interactive

#对于指定的IP，只需要publickey验证
Match Address 10.0.0.4
AuthenticationMethods publickey

#也可以指定用户只需要publickey验证
#Match User XXX
#AuthenticationMethods publickey

顺便吐槽一下，Linux这套东西折腾起来真是要命，今天配置跳板机备份机的时候，完全相同的配置，复制一份就是不对，虽然配置里只指定了publickey,keyboard-interactive，但是每次输完验证码以后还是要求输入密码才行，折腾了几个小时才发现，不知道从什么时候开始，"auth required pam_google_authenticator.so" 已经不合适了，需要改成 "auth sufficient pam_google_authenticator.so"，这样才会在输入验证码以后就结束认证过程（sufficient的实现里加了一个break？什么鬼。）（感谢 @ ）

最后，提醒一下使用SecureCRT的同学，你需要在Session Options -> Connection -> SSH2，将Authentication中只选用 "Keyboard Interactive" ，否则没法正常登录。

　　错误：configure: error: Unable to find the PAM library or the PAM header files

　　方法：yum install -y pam-devel

引用：

Go全局唯一ID选型集合

CentOS 6/7升级最新内核并开启Google BBR

CIKM2021 | 将对比学习用于解决推荐系统长尾问题

Google云盘的使用「建议收藏」

使用AdGuard Home搭建一个无广告和跟踪的公共DNS

本站声明：本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

上一篇：Linux基于pxe+dhcp+nfs+tftp+kickstart的系统网络安装方法下一篇：软件安装(JDK+MySQL+TOMCAT)

作者最新文章

HTML中用正则表达式实现表格验证

2018-05-29 15:14

Swiper轮播图源码分享解析

2018-05-28 17:04

HttpUtils请求工具类的代码

2018-05-28 16:13

如何给php数组添加元素

2018-05-30 15:01

CSS3实现hover离开时平滑过渡的实例详解

2018-05-28 17:36

PHP限制相同IP多次提交的解决办法

2018-05-30 09:31

实例展示JS实现简单的选择题测评系统

2018-05-30 09:42

Java构建树形菜单（包括多级菜单）的实例代码

2018-05-28 17:49

总结整理VsCode插件

2018-05-28 16:33

有关JavaScript严格模式下this的指向问题详解

2018-05-29 13:43

热门AI工具

DeepSeek

幻方量化公司旗下的开源大模型平台

AI编程开发 AI聊天问答

豆包大模型

字节跳动自主研发的一系列大型语言模型

AI编程开发 AI大模型

通义千问

阿里巴巴推出的全能AI助手

AI编程开发 Agent智能体

腾讯元宝

腾讯混元平台推出的AI助手

文档处理 Excel 表格

文心一言

文心一言是百度开发的AI聊天机器人，通过对话可以生成各种形式的内容。

AI编程开发 AI文本写作

讯飞写作

基于讯飞星火大模型的AI写作工具，可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

AI文本写作中文写作

即梦AI

一站式AI创作平台，免费AI图片和视频生成。

图片拼接图画生成

ChatGPT

最最强大的AI聊天机器人程序，ChatGPT不单是聊天机器人，还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

AI编程开发 AI文本写作

智谱清言 - 免费全能的AI助手

AI编程开发 Agent智能体

相关专题

JavaScript浏览器渲染机制与前端性能优化实践

本专题围绕 JavaScript 在浏览器中的执行与渲染机制展开，系统讲解 DOM 构建、CSSOM 解析、重排与重绘原理，以及关键渲染路径优化方法。内容涵盖事件循环机制、异步任务调度、资源加载优化、代码拆分与懒加载等性能优化策略。通过真实前端项目案例，帮助开发者理解浏览器底层工作原理，并掌握提升网页加载速度与交互体验的实用技巧。

2026.03.06

Rust内存安全机制与所有权模型深度实践

本专题围绕 Rust 语言核心特性展开，深入讲解所有权机制、借用规则、生命周期管理以及智能指针等关键概念。通过系统级开发案例，分析内存安全保障原理与零成本抽象优势，并结合并发场景讲解 Send 与 Sync 特性实现机制。帮助开发者真正理解 Rust 的设计哲学，掌握在高性能与安全性并重场景中的工程实践能力。

2026.03.05

PHP高性能API设计与Laravel服务架构实践

本专题围绕 PHP 在现代 Web 后端开发中的高性能实践展开，重点讲解基于 Laravel 框架构建可扩展 API 服务的核心方法。内容涵盖路由与中间件机制、服务容器与依赖注入、接口版本管理、缓存策略设计以及队列异步处理方案。同时结合高并发场景，深入分析性能瓶颈定位与优化思路，帮助开发者构建稳定、高效、易维护的 PHP 后端服务体系。

162

2026.03.04

AI安装教程大全

2026最全AI工具安装教程专题：包含各版本AI绘图、AI视频、智能办公软件的本地化部署手册。全篇零基础友好，附带最新模型下载地址、一键安装脚本及常见报错修复方案。每日更新，收藏这一篇就够了，让AI安装不再报错！

2026.03.04

Swift iOS架构设计与MVVM模式实战

本专题聚焦 Swift 在 iOS 应用架构设计中的实践，系统讲解 MVVM 模式的核心思想、数据绑定机制、模块拆分策略以及组件化开发方法。内容涵盖网络层封装、状态管理、依赖注入与性能优化技巧。通过完整项目案例，帮助开发者构建结构清晰、可维护性强的 iOS 应用架构体系。

113

2026.03.03

C++高性能网络编程与Reactor模型实践

本专题围绕 C++ 在高性能网络服务开发中的应用展开，深入讲解 Socket 编程、多路复用机制、Reactor 模型设计原理以及线程池协作策略。内容涵盖 epoll 实现机制、内存管理优化、连接管理策略与高并发场景下的性能调优方法。通过构建高并发网络服务器实战案例，帮助开发者掌握 C++ 在底层系统与网络通信领域的核心技术。

2026.03.03

Golang 测试体系与代码质量保障：工程级可靠性建设

Go语言测试体系与代码质量保障聚焦于构建工程级可靠性系统。本专题深入解析Go的测试工具链（如go test）、单元测试、集成测试及端到端测试实践，结合代码覆盖率分析、静态代码扫描（如go vet）和动态分析工具，建立全链路质量监控机制。通过自动化测试框架、持续集成（CI）流水线配置及代码审查规范，实现测试用例管理、缺陷追踪与质量门禁控制，确保代码健壮性与可维护性，为高可靠性工程系统提供质量保障。

2026.02.28

Golang 工程化架构设计：可维护与可演进系统构建

Go语言工程化架构设计专注于构建高可维护性、可演进的企业级系统。本专题深入探讨Go项目的目录结构设计、模块划分、依赖管理等核心架构原则，涵盖微服务架构、领域驱动设计(DDD)在Go中的实践应用。通过实战案例解析接口抽象、错误处理、配置管理、日志监控等关键工程化技术，帮助开发者掌握构建稳定、可扩展Go应用的最佳实践方法。

2026.02.28

Golang 性能分析与运行时机制：构建高性能程序

Go语言以其高效的并发模型和优异的性能表现广泛应用于高并发、高性能场景。其运行时机制包括 Goroutine 调度、内存管理、垃圾回收等方面，深入理解这些机制有助于编写更高效稳定的程序。本专题将系统讲解 Golang 的性能分析工具使用、常见性能瓶颈定位及优化策略，并结合实际案例剖析 Go 程序的运行时行为，帮助开发者掌握构建高性能应用的关键技能。

2026.02.28

热门下载

网站特效

网站源码

网站素材

前端模板