Google Authenticator安全配置ssh二次验证登录
我的图书馆
Google Authenticator安全配置ssh二次验证登录
架构师（JiaGouX）我们都是架构师！安装依赖环境yum install gcc wget pam-devel libpng-devel libtool安装git及二维码工具yum install -y git qrencode安装google-authenticator&git&clone&/google/google-authenticator.gitcd&google-authenticatorbpam./bootstrap.sh./configuremake&&&&make&installcp&/usr/localbcurity/pam_google_authenticator.so&b64curity/&修改PAM,SSH登录时调用google-authenticator模块编辑/etc/pam.d/sshd文件，在第一行添加如下代码auth & & & required & & pam_google_authenticator.so编辑 /etc/ssh/sshd_config 文件，修改如下内容ChallengeResponseAuthentication yes & &\\启用其它认证UsePAM yes & & & & & & & & & & & & & & \\启用UsePAM模块重启 sshd/etc/init.d/sshd restart配置google authentication 生成基于计数的认证token（可以忽略时间错误参数:& &-c, --counter-based &基于计数器生成动态码（可以忽略时间差错误）& &-t, --time-based基于时间生成动态码& &-R, --rate-time=M设置登录频率限制的时间间隔& &-w, --window-size=W &设置时间窗的大小，主要在移动设备的时间不是准确同步的情况下比较有用交互式命令&google-authenticator 生成token，可以一直按y，如果特殊需要可以自行修改google-authenticatorDo you want authentication tokens to be time-based (y/n): n &&是否基于时间生成动态码，n是基于计数器此时会生成一个很大的二维码，和手机客户端登录的密钥和5个应急码，手机客户端扫描二维码就可以直接自动添加当前账户Do you want me to update your '/root/.google_authenticator' file (y/n):y &应急码的保存路径increased from its default size of 3 to 17. Do you want to do so &(y/n):yDo you want to enable rate-limiting (y/n):y & &登录次数限制,30s内只允许3次错误/root/.google_authenticator & & & 手机密钥和应急码保存路径Your verification code is 582849 &手机客户端登录的密钥Your emergency scratch codes are: 一些生成的5个应急码，每个应急码只能使用一次此时再登录服务器，按照提示选择“keyboard Interactive”根据提示需要verification code,输入手机客户端对应的6位数字（注意:动态码的有效时间为5s,so动作要快）然后再输入服务器密码即可登录来源：行 者
TA的最新馆藏青青子衿, 悠悠我心, 但为君故, 沉吟至今
Google两步验证安装使用方法
　　由于Google的Gmail账户经常遭到，甚至出现美国政府高级官员帐号被攻击的情况，Google在早先推出过一个更安全的登录Google账户的方式：两步验证，目前该功能已经向全球用户开放。　　两步验证和动态密码　　两步验证，指的是用户登录Google账户的时候，除了要输入用户名和密码，还要求用户输入自己手机的一个动态密码，为Google帐户额外添加了一层保护。也就是说，即使入侵者窃取了用户的Google密码，也会因不能使用用户的手机而无法登录帐户。　　Gmail的&两步验证&支持iPhone和Android手机，实际上属于动态密码的一种类型。（Dynamic Password）也称一次性密码，它指用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次。由于每次使用的密码必须由动态令牌来产生，而用户每次使用的密码都不相同，因此黑客很难计算出下一次出现的动态密码。不过动态密码对手机要求较高，需要iPhone或Android这样的智能手机。　　安装两步验证　　对于经常受到攻击的Gmail用户，强烈推荐使用Gmail的&两步验证&功能，设置方法是，先登录Google帐号，然后访问，之后系统会让用户选择获取验证码的方式：短信 （SMS）、语音电话或智能手机应用程序。如果用户的手机是iPhone、Android或黑莓手机，强烈建议选择智能手机应用程序的方式，更为稳定和快速。　　之后去iTunes或者Android市场下载一个名为的应用，将其安装，运行前先把手机的时间调整为正确时间。　　之后在Google Authenticator（谷歌身份验证器）中，点击&+&。选择基于时间类型的密钥。在&帐户&中键入用户的完整电子邮件地址。在&密钥&中键入Google网页上生成的密钥，空格可有可无，点击&完成&即可。　　之后就可以使用动态口令了，这种动态口令极大增强了Gmail的安全性。　　使用两步验证　　两步验证启用之后，用户具体的使用流程是，在Web端，用户登录Google账户，先输入原有的用户名和密码。　　之后，系统会提示用户输入通过手机上的动态验证码。用户只需要打开手机上的Google Authenticator应用，将屏幕上显示的动态验证码输入进去，点&确认&即可正常登录。　　为了减少输入次数，用户可以选择每30天输入一次动态验证码。　　对于手机或桌面上的独立应用，例如Gmail移动版、桌面Picasa等，就无法使用动态密码，需要在&两步验证&设置里生成一个随机密码，供应用程序使用，用户在这些独立应用里，登录Google需要使用&两步验证&生成的随机密码。　　关闭两步验证　　用户启用&两步验证&之后，如果感觉太麻烦不好用，可以选择关闭两步验证，关闭的方法是：　　访问 Google 帐户设置下的使用。使用用户名、密码和验证码登录，点击关闭两步验证。系统会显示一个弹出式窗口，以确定用户要关闭两步验证，点击确定即可关闭&两步验证&。　　有些用户重装手机的谷歌验证器，会忘记先暂停两步验证，结果导致自己无法登录Google，此时如何关闭两步验证呢？　　这种情况下，使用静态密码登录后，在验证码输入界面，点击&无法使用电话&，可以使用：1、备用验证码。首次使用两步验证的时候，会要用户打印十多个备用验证码，用那个打印文件中的任意一个密码即可登录。2、手机短信。Google会产生一个随机验证码，并通过短信的方式发送到用户的手机上，通过这个验证码登录。　　总结　　邮箱是密码管理中的核心和关键，通过邮件重置密码功能，可以获得用户大部分网站的密码，因此一旦邮箱密码被黑，会导致用户全部密码体系失控，Gmail动态密码虽然看起来麻烦一些，其实也并非每次都输入，在单台电脑可以三十天再输入一次。方便性固然是好的，安全性是更重要的，用户必须要重视自己的密码管理，虽然增加了一点点不便，但是你可能将会因此避免极大损失的可能性。
　　除非注明，文章均为原创，转载请以链接形式标明本文地址
　　本文地址：
当有关部门有需求的时候，他们能不能让移动服务提供商假借某人的手机号码向谷歌请求二次认证码呢？
手机短信的方式验证也不安全。移动公司监控着每一条短信的内容。瓢泼大雨 于
23:31:43 回复手机短信的方式验证也不安全。移动公司监控着每一条短信的内容。--------------------------------------------这才是明白人
.那些廉价的东东
google最近改变很大了
顶起来！支持！！
想请教两个问题啊: 1. 是用两步验证后第一次登陆有个勾选30天免输入的选项,请问不勾选是每次都要输入还是永远不用输入?实际使用中我感觉貌似是永久啊 2. 如果我勾选了30天或者现在已经永久不用输入了,我想知道如何取消呢? 如何让他登陆的时候又要输入次验证码?
嘿嘿 我用黑莓
其实像支付宝那样弄个本地数字证书要求或者U盾什么的更好！
这个好，我一直再用lastpass和yuikey.但是gamil是其中最薄弱得环节，只有密码验证。。
现在这邮箱需要电话验证。真麻烦。
为什么没有塞班的客户端，qq的手机令牌是java的，塞班上就可以用
.新浪微博刷粉加V请点此处查看详细
只有短信和语音电话，而没有应用程序验证？
手机停机了不就歇菜了么
我的Gmail已经开启了。但是，短信不一定安全，然而已经安全很多了。
手机丢了怎么办？那不是自己也打不开邮箱了？
谢谢详细的解释。我现在发现一个问题，iPhone上面那个Mail现在不能访问我的Google账户了，能不能麻烦提供一个iPhone上面的设置指导啊？谢谢先
如果手机丢失
怎么关闭动态密码呢flz 于
13:05:26 回复大概只能等上30天了飞洒过 于
13:26:55 回复有备选方案。翔子 于
11:24:25 回复那就只能悲剧了。
.伤感散文欣赏
我还是老以前的手机呢hulala 于
12:00:11 回复是啊是啊 不是智能机子的咋办哦
.网资运作吧
真的是很好的东西哦```学习了
消防车 加油车
我可以说他学习的腾讯手机令牌吗？夜空守望者 于
13:42:27 回复那你还不如说抄袭网易的将军令吧...将军令2006年就出来了
这种方法安全倒是安全,可是有点麻烦
Google真的是SB啊。真的！
这次的翻译有点慢了，早上刚看了新闻，不过月光的内部链接做的真不错~~~
很不错的功能
还是人家谷歌牛比，但是对于谷歌的平台我们能利用的还少啊
换号和换手机都不方便，而且走移动过一下貌似更不安全netcat 于
22:29:40 回复这个相当于软口令卡，手机操作系统只是它的运行平台，跟移动运营商没一点关系。
月光经验丰富哈
感觉不错！试试就知道了，还是先试试！
谷歌厉害啊，一直走在技术的前沿啊
两步验证设置完成绑定的 android 程序，呵呵，智能手机太重要了， 手机 能备份，就更好了，呵呵
比较少用Gmail的邮箱，加了动态密码安全性大大提高了，一些网银登陆也用此方法。
不想弄得那么麻烦，平常只要注意下就好了
信箱很多，而且也没有啥可保密的…
不灵光了，现在没有智能机这个选项了，只剩下短信和语音
验证器时间不一致导致无法登陆账号如何处理
这个,在银行使用得很多的.经常使用...邮件很少应用这个服务
wm没有iphone没有android没有黑莓怎么办？
好东西就是麻烦点
.兴隆记肇庆特产
哈哈，非常好。
除了郵箱以外，還有一個安全核心 dropbox ，黑客也可能從那裡搞到其他密碼系統數據。
设置了双层密码之后android手机端gmail连不上去了
试试看看，支持
国内很少人这么做吧
我想问一下~在网吧上网应该注意什么~有时密码太多我就存在163邮箱了~密码多了怕忘了~然后到网吧打开邮箱里的文件查看密码~我不知道什么方式是最安全的，密码又必须要用~应该注意什么~~
这是个好东西
支持一下谢谢楼主分享!
是很好的东西呢
这个，很久没用Gmail了
我的gmail这两天被黑，请问设置每30天输入一次动态验证码,安全吗? 是否黑客一样可以在这30天里再黑我？？？盼复！谢谢!
这次的翻译有点慢了，早上刚看了新闻
非常喜欢博主的文章，原创，有深度。
说实话，不太方便
.才个官方光滑
哈哈大饭店v并和共和国和共和国
这个不新鲜，淘宝网登陆时还要发手机验证码呢
牛逼啊~~牛逼啊~~
很( ^_^ )不错嘛，是个好东西，支持gg
我的gmail这两天多次被黑，请问设置每30天输入一次动态验证码,安全吗? 是否黑客一样可以在这30天里再黑我？？？盼复！谢谢!
.请教问题哦
你好 我想请教一下 我是手机申请的谷歌邮箱并绑定手机 现在我不记的当时的密码了
通过留的雅虎邮箱申请就是申请不了
通过谷歌发到我雅虎邮箱里的网址跳出来就是无效的
根本找不回来密码
我的手机锁现在被小孩输错了
必须要申请这个邮箱才能打开 现在邮箱的密码又找不回
想请高手帮忙怎么能找回密码 谢谢哦
为什么选择验证方式的时候没有第三项？只有短信和语音电话，而没有应用程序验证？
对于有核心机密的邮箱来说才有用像我的黑了就黑吧。
哈哈大饭店v并和共和国和共和国
手机短信验证还是蛮安全啊，因为电信服务商必须在1分钟之内从全国那么多的短信中找到验证短信，这个比较困难（当然，如果全国就你一个使用，那就没办法了）
这个功能很好,我喜欢用GOOGLE SMS免费发过来.
时尚首饰情侣首饰水晶手链珍珠手链
赞助商广告
本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.微运维：vYunWei一般大公司的服务器都通过 RSA SecurID 来实现 两步(two-step/two-factor) ssh 验证,但这个东西一个要几百块钱，对个人或者小公司来说不划算。但如果直接ssh开放裸奔也不放心，所以考虑使用google-authenticator基于软件实现两步验证。安装 Google Authenticator 应用该应用支持android/IOS/BlackBerry /accounts/bin/answer.py?hl=en&answer=1066447在服务上编译安装 google-authenticator先安装pam的devel包: apt系列的是 libpam0g-dev，yum系列的是 pam-develgit clone /p/google-authenticator/cd google-authenticator/libpammakemake install修改 /etc/pam.d/sshd在开始部分增加:auth required pam_google_authenticator.so修改/etc/ssh/sshd_config 开启 ChallengeResponseAuthenticationChallengeResponseAuthentication yes设置服务器切换到需要启用 google-authenticator 的用户执行google-authenticator$ google-authenticatorDo you want authentication tokens to be time-based (y/n) y//chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/jolestar@xxxxx%3Fsecret%xxxxxxxxYour new secret key is: xxxxxxYour verification code is xxxxxYour emergency scratch codes are:xxxxxxxxDo you want me to update your &/home/jolestar/.google_authenticator& file (y/n) y# 禁止同一个token被多个人使用Do you want to disallow multiple uses of the same authenticationtoken? This restricts you to one login about every 30s, but it increasesyour chances to notice or even prevent man-in-the-middle attacks (y/n) y#是否需要延长过期时间，默认是30秒，但允许提前和延后一个段，所以过期时间是1分钟30秒。By default, tokens are good for 30 seconds and in order to compensate forpossible time-skew between the client and the server, we allow an extratoken before and after the current time. If you experience problems with poortime synchronization, you can increase the window from its defaultsize of 1:30min to about 4min. Do you want to do so (y/n) n#是否启用频次限制If the computer that you are logging into isn't hardened against brute-forcelogin attempts, you can enable rate-limiting for the authentication module.By default, this limits attackers to no more than 3 login attempts every 30s.Do you want to enable rate-limiting (y/n) y重启ssh服务设置客户端打开google-authenticator(Google身份验证器),手动输入上面的token或者打开上面的url通过扫描二维码的方式添加账号。可以看到token已经在定时变化。 尝试登陆一下，可以看到登陆方式已经变更了。Verification code:Password:注意: 最好预先登陆两个终端上去，一个操作，另外一个预备。万一设置错误还可以救回来。扩展如果觉得软件方式不方便（有的手机不支持），可以考虑通过短信发token的方式。这儿有个发邮件的例子: /?p=1068 如果已经有发短信的接口，实现也很容易。来源：/two-step-ssh-with-google-authenticator/微运维：vYunWei服务器管理、监控、维护、优化运维业务、运维规划、运维开发欢迎有想法、乐于分享的运维人交流学习现已开通多个微信群，有兴趣交流学习的同学可加若飞的微信： 进群合作邮箱：微运维(vyunwei)　
　文章为作者独立观点，不代表大不六文章网立场
vyunwei运维进行时。服务器运维、管理、监控、维护、优化；
业务运维、运维规划、运维开发、架构设计；
欢迎有想法、乐于分享的运维人员交流学习；热门文章最新文章vyunwei运维进行时。服务器运维、管理、监控、维护、优化；
业务运维、运维规划、运维开发、架构设计；
欢迎有想法、乐于分享的运维人员交流学习；&&&&违法和不良信息举报电话：183-
举报邮箱：
Copyright(C)2016 大不六文章网
京公网安备78