6

Linux双因素身份认证大全:ssh + console + 图形界面

 2 years ago
source link: https://blog.51cto.com/u_15667433/5372475
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

对于咱们日常运维人员来讲,Linux应该是经常打交道的吧(如果不是,可能不是运维,是维修...开个玩笑),Linux在机房里面的地位就像Windows在办公空间里的地位牢不可破,各类软件的部署首选就是Linux!Linux运维常用的登录入口有3个:

Ssh、console、图形界面(如果有)。

为了更加安全的运维,通常会采用双因素身份认证系统动态口令做登录加固,下面简单聊下针对这3个入口如何做双因素身份认证加固?

首先会部署一套双因素身份认证系统,做账号和令牌的一一绑定、令牌激活等工作,通过管理令牌;

然后在Linux主机部署pam_radius插件,做动态口令输入框;

最后修改Linux文件,分别使ssh、console和图形界面调用双因素认证模块;

是不是很简单?好吧,我拿centos7.8(安装gnome)做个案例:

Linux双因素身份认证大全:ssh + console + 图形界面_linux

1、双因素认证服务端

这边我是用的中科恒伦双因素身份认证服务,具体配置方法不便公开,可以进入中科恒伦官网,联系我们索要安装包和配置方法;

2、在Linux主机部署pam_radius插件

插件里有两个包:libCkey.so 和 pam_radius_auth.so

Linux双因素身份认证大全:ssh + console + 图形界面_身份认证_02

  • 将libCkey.so放到/usr/lib64下
  • 将pam_radius_auth.so放到/usr/lib64/security下

至此插件就搞定了,是不是非常简单?

3、修改对应的文件

这里需要注意下,虽然是3个入口,实际上加载的是两个文件,其中console加载的文件是“ /etc/pam.d/system-auth ”,ssh和图形界面加载的同一个文件“ /etc/pam.d/password-auth ”,所以重点需要关照这两个文件,具体如下:

配置认证服务器(这一步是共用!)​

mkdir /etc/raddb        //创建raddb文件夹(名字固定)
vim /etc/raddb/server   //配置认证服务器信息,“server”名字不能变
  172.16.146.132   12345678    10
  认证服务器地址      共享秘钥     超时时间



配置console双因素认证​



vim /etc/pam.d/system-auth



直接放修改前后对比图吧,文字描述有点费劲



Linux双因素身份认证大全:ssh + console + 图形界面_身份认证_03
 
Linux双因素身份认证大全:ssh + console + 图形界面_双因素认证_04
 
登录效果(console)​



Login                    //用户名
Password            //本机静态密码
CkeyPassword         //动态口令



Linux双因素身份认证大全:ssh + console + 图形界面_linux_05
 
至此使用动态口令登录console,实现双因素认证。



配置ssh和图形界面双因素认证​



首先需要修改 “ /etc/ssh/sshd_config ”​



# vim /etc/ssh/sshd_config
  PasswordAuthentication no
  ChallengeResponseAuthentication yes
  UsePAM yes



Linux双因素身份认证大全:ssh + console + 图形界面_身份认证_06
 
然后修改“ /etc/pam.d/password-auth ”​



# vim /etc/pam.d/password-auth



此处修改方法和system-auth一致



Linux双因素身份认证大全:ssh + console + 图形界面_Linux登录_07
 
Linux双因素身份认证大全:ssh + console + 图形界面_身份认证_08
 
登录效果(ssh)​



如果是图形工具,认证方式选择:Keyboard Interactive,命令行直接ssh



Linux双因素身份认证大全:ssh + console + 图形界面_linux_09
 
1、输入用户名



Linux双因素身份认证大全:ssh + console + 图形界面_Linux登录_10
 
2、输入本地静态密码



Linux双因素身份认证大全:ssh + console + 图形界面_linux_11
 
3、输入动态口令



Linux双因素身份认证大全:ssh + console + 图形界面_linux_12
 
登录效果(图形界面)​



1、输入用户名



Linux双因素身份认证大全:ssh + console + 图形界面_双因素认证_13
 
2、输入本地静态密码



Linux双因素身份认证大全:ssh + console + 图形界面_linux_14
 
3、输入动态口令



Linux双因素身份认证大全:ssh + console + 图形界面_身份认证_15
 
至此3个登陆入口都做了双因素身份认证,实现安全访问Linux主机。



关于使用动态口令的好处,网上有很多资料,这里就不做赘述,我后续也会专门写一篇,初定《双因素身份认证动态口令技术原理及优势》供你参考!

        

        

            

                report
            

        

    







        
Recommend

        



                

    
About Joyk

    
 





Aggregate valuable and interesting links.

Joyk means Joy of geeK