CentOS7下部署GoogleAuthenticator
查看当前yum源有无Google Authenticator:
$ yum list | grep authenticator
Linux (apk, rpm, tgz)下载地址:
https://pkgs.org/download/google-authenticator
1. 下载Google Authenticator对应服务器版本的rpm软件包:
$ wget https://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/g/google-authenticator-1.04-1.el7.x86_64.rpm
2. 安装:
$ rpm -ivUh google-authenticator-1.04-1.el7.x86_64.rpm
3. 查看是否安装:
$ yum list installed | grep google
4. 添加 google_authenticator 认证模块:
- 查找 google_authenticator 库:
$ find / -name "pam_google_authenticator.so" /usr/lib64/security/pam_google_authenticator.so
- sshd添加Google Authenticator认证:
$ vim /etc/pam.d/sshd # 第一行添加
auth required pam_google_authenticator.so
如果你希望没有开启两步验证的账号还可以登录,则在此文件后面添加nullok:
auth required pam_google_authenticator.so nullok
最后一行追加,nullok表示PAM方法是可选的,这允许没有OATH-TOTP令牌的用户仍然使用他们的SSH密钥登录。 一旦所有用户都有OATH-TOTP令牌,您可以从此行中删除nullok ,以使MFA成为强制性。
5. sshd 添加 pam 认证:
$ vim /etc/ssh/sshd_config ChallengeResponseAuthentication yes
6. 切到需要使用Google身份验证器的账号,执行命令:
$ google-authenticator
手机安装google authenticator, 在google_authenticator软件中扫描服务器上面的二维码,添加认证信息配置。
注意保存二维码图片,和紧急备用code
7. root重启sshd服务,使配置生效:
$ service sshd restart
再次ssh登录服务器,则会出现提示,输入code(手机安装Google Authenticator对应用户@服务器的动态验证码),验证通过后再次输入账号的密码。密码正确,才可以进入服务器。
以上是 CentOS7下部署GoogleAuthenticator 的全部内容, 来源链接: utcz.com/z/516624.html