如何使用Google身份验证器在CentOS 6上为SSH设置两因素身份验证（2FA）

• 步骤1：安装所需的软件包
• 步骤2：配置软件
• 第3步：在移动设备上配置Google身份验证器
• 结论

在更改了SSH端口，配置了端口终止功能并进行了其他一些SSH安全性调整之后，也许还有另一种方法可以保护服务器。使用两因素身份验证。使用两因素身份验证（2FA），一个人将需要您的移动设备访问您的SSH服务器。这对于防止所有蛮力攻击和未经授权的登录尝试很有用。

在本教程中，我将说明如何使用SSH和Google Authenticator在CentOS 6服务器上配置2FA。

步骤1：安装所需的软件包

软件包“ google-authenticator”存在于CentOS的默认存储库中。以root用户身份运行以下命令进行安装。

yum install pam pam-devel google-authenticator

现在，您已经在服务器上安装了此软件，然后需要在移动设备上安装“ Google Authenticator”应用。

• 下载Android设备
• 下载iOS设备

安装该组件后，请确保您的移动设备随时可用，因为我们仍然需要配置2FA。

步骤2：配置软件

首先，以您希望保护的用户身份通过​​SSH登录。

执行以下命令：

 google-authenticator

在第一条消息上单击“ y”，询问您是否要更新./google_authenticator文件。当它提示您禁止多次使用时，请再次单击“ y”，以使另一个用户无法使用您的代码。对于其余选项，请单击“ y”，因为它们都可以提高该软件的有效性。

大！确保将秘密密钥和紧急暂存代码抄写在纸上。

现在，我们需要配置PAM以使用2FA。

对于本文，我将使用nano作为首选的文本编辑器。以超级用户身份执行以下命令。

nano /etc/pam.d/sshd

将以下行添加到文件的顶部。

 auth required pam_google_authenticator.so 

保存，然后关闭编辑器。

接下来，将SSH守护程序配置为使用2FA。

nano /etc/ssh/sshd_config

找到类似于“ ChallengeResponseAuthentication no”的行，并将“ no”更改为“ yes”。

重新启动SSH服务器：

service sshd restart

第3步：在移动设备上配置Google身份验证器

要配置此软件，我们需要在其中添加密钥。找到“手动输入键”选项，然后点击。输入您先前记下的密钥，然后保存。现在将弹出一个代码，并将每隔一段时间刷新一次。从现在开始，您将需要使用它来登录SSH服务器。

结论

两因素身份验证的目的是提高服务器的安全性。由于没有其他人可以访问您的移动设备，因此他们将无法找出代码来登录到您的服务器。

其他版本

• 的Ubuntu
• CentOS的