要塞マシンに google-authenticator をインストールします

同社のオンライン マシンではユーザーが自由にログインできないため、開発者は実稼働マシンに自由にログインできません。そこで、google-auth 認証方法を使用する予定です。

google-auth方式の場合。

google-authenticator の構築:

これの構築は次のように非常に簡単です:

git clone google auth の最新バージョンをダウンロードします。

cd google-authenticator-libpam/

./bootstrap.sh

./configure && make && make install

ln -s /usr/local/lib/security/pam_google_authenticator.so /lib64/security/pam_google_authenticator. so

/etc/pam.d/sshdを変更します

#先頭に「auth required pam_google_authenticator.so」という行を追加します
#この構成はより複雑になる可能性があります。いくつかのパラメータを追加します。libpam/READMEを参照してください
#注意:それでもパスワードを入力する必要がある場合は、「十分な認証 pam_google_authenticator.so」に変更してみてください。

/etc/ssh/sshd_configを変更します

ChallengeResponseAuthenticationオプションをnoからyesに変更します

UsePAMをyesに変更します

service sshd restart

キーを生成します

$ google-authenticator #注 : このコマンドを実行するには、 root ユーザーではなくユーザーにログインしてください
認証トークンを時間ベースにしますか (y/n) y (確認: 時間ベースの認証トークン)
【QR コードを生成するためのアドレス、QR コード、キーはここに表示されるプレーンテキスト、緊急コード】
「/var/www/.google_authenticator」ファイルを更新しますか (y/n) y (確認: 設定ファイルを更新します)
......
サイズ1:30min ～ 約 4min しますか (y/n) n (トークンの有効期間は 1.5 分です。4 分を取得するには y を選択します)
...
レート制限を有効にしますか (y/n) n) y (30 秒以内に 3 回の試行のみが許可されます)

アプリで QR コードをスキャンするか、キーを手動で入力すると、トークンが 30 秒ごとに更新されることがわかります

ログインしてみます
$ ssh localhost
認証コード: [認証コードを入力]
パスワード: [パスワードを入力]

補足:

ただし、この時はGoogle Authenticatorが追加されただけで、実際に使用する場合は認証とパスワードの両方を入力する必要があります。これはあまりにも面倒なので、私たちは会社の出発点を構築しています。コンピューターにログインするときに、公開キー + 認証システムのソリューションを選択し、確認コードを 1 回入力するだけで済みました。しかし、ここで求められることはたくさんあります。たとえば、openssh のバージョンが 6.2 より大きい場合、AuthenticationMethods は使用できません。centos7 のバージョンを使用するのが最適です (centos6.5 のテストでは使用できません)。それは私が技術に弱いからであるはずです）。

特定の設定スキームは、主に SSH 6.2 以降の新しい AuthenticationMethods パラメータを使用することにより、ほとんど変更されていません。これにより、一連の検証方法を指定できます。

ちなみに、今日バックアップ マシンを構成したとき、まったく同じ構成でした。 -interactive 構成で publickey とキーボードのみが指定されているにもかかわらず、それをコピーしますが、確認コードを入力した後は毎回パスワードが必要になります。数時間苦労した後、「認証には pam_google_authenticator.so が必要である」ことがわかりました。 " は適切ではなくなったため、"auth."十分な pam_google_authenticator.so" に変更する必要があります。これにより、確認コードの入力後に認証プロセスが終了します (十分な実装で休憩が追加されます。一体どういうことですか。) (Thanks @ )


最後に、SecureCRT を使用する学生への注意事項は、[セッション オプション] -> [接続] -> [SSH2] に移動し、[認証] で [キーボード インタラクティブ] のみを選択する必要があります。そうしないと、正常にログインできません。

以上が要塞マシンに google-authenticator をインストールしますの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。