我想通过添加另一个因素来加强我的 SSH 登录身份验证:密码生成器设备,或我手机上的密码生成应用程序。默认设置中唯一明显的选项是固定的密码和密钥对。我怎样才能做到这一点?
(如果我使用密码和密码生成器,这提供了两步验证(2FA):密码是“我知道的”,密码是“我拥有的”。)
一种方法是使用 Google 提供的名为Google Authenticator的工具。
sudo apt-get install libpam-google-authenticator
编辑/etc/pam.d/sshd
以包含模块:
sudoedit /etc/pam.d/sshd
然后在文件顶部包含这一行并保存:
auth required pam_google_authenticator.so
编辑您的 SSH 配置文件以开启挑战:
sudoedit /etc/ssh/sshd_config
然后更改响应身份验证:
ChallengeResponseAuthentication no
至
ChallengeResponseAuthentication yes
然后保存文件。
sudo restart ssh
重新启动SSH
跑步 google-authenticator
您需要其中一个才能在另一台设备上接收验证码。
请注意,将密码与一次性密码相结合是两因素身份验证:它将“您知道的”(密码)与“您拥有的”(密码生成器设备)相结合。另一方面,如果您将一次性密码与 SSH 密钥对结合使用,则完全取决于“您拥有什么”。当两个身份验证因素类型相同时,您没有双因素身份验证;这有时被称为“一个半因素身份验证”。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句