带来一篇CentOS下用Google Authenticator增强SSH登录宁静性

如果您觉得本篇CentOSLinux教程讲得好，请记得点击右边漂浮的分享程序，把好文章分享给你的小伙伴们！情况：
CentOS6.3x86_64
基本组件装置：

yum-yinstallwgetgccmakepam-devellibpng-devel




1、装置qrencode
在Linux上，有一个名为QrenCode的下令行工具能够很简单帮我们天生二维码，谷歌authenticator下令行天生二维码就是挪用它。


wgethttp://fukuchi.org/works/qrencode/qrencode-3.3.1.tar.gz
tarzxfqrencode-3.3.1.tar.gz
cdqrencode-3.3.1
./configure--prefix=/usr&&make&&makeinstall




2、装置谷歌authenticatorPAM插件


wgethttp://谷歌-authenticator.谷歌code.com/files/libpam-谷歌-authenticator-1.0-source.tar.bz2
tarjxflibpam-谷歌-authenticator-1.0-source.tar.bz2
cdlibpam-谷歌-authenticator-1.0
make&&makeinstall




3、设置谷歌authenticator

GoogleAuthenticator实际上是一套开源的办理计划，以是不但在Google的网站上能用，在其他中央也能用的。但是，在Google的网站上，会间接给你一个QR码让你扫的，而本人设置的GoogleAuthenticator则要本人天生了。
起首必要切换到对应的用户，假如VPS上只要一个用户的话，天然是能够省略这一步的，可是多用户的VPS必要先切换到对应的用户，再运转谷歌-authenticator下令，步伐会问你Doyouwantauthenticationtokenstobetime-based(y/n),粗心是基于工夫天生考证码（及TOTP）,这里选择y。了局相似如许：

登录/注册后可看大图

这个QR码天然是给GoogleAuthenticator使用步伐来扫描的，也能够会见下面的谁人链接，用GoogleChartAPI天生的QR码来扫描。还能够照着QR码上面的笔墨密钥手工输出。当GoogleAuthenticator辨认了这个账号以后，考证器就设置好了。在笔墨密钥上面还供应了几个应急码，为手机丢了等情形下所用的，能够妥帖保管。
这时候GoogleAuthenticator固然运转了，可是相干设置还没有保留，步伐会问你Doyouwantmetoupdateyour“/root/.谷歌_authenticator”file(y/n)（是不是将设置写进家目次的设置文件），固然是回覆y了。又会问

1. Doyouwanttodisallowmultipleusesofthesameauthenticationtoken?Thisrestrictsyoutooneloginaboutevery30s,butitincreasesyourchancestonoticeorevenpreventman-in-the-middleattacks(y/n)

复制代码

粗心是说是不是克制一个口令多用，天然也是答y。下一个成绩是

1. Bydefault,tokensaregoodfor30secondsandinordertocompensateforpossibletime-skewbetweentheclientandtheserver,weallowanextratokenbeforeandafterthecurrenttime.Ifyouexperienceproblemswithpoortimesynchronization,youcanincreasethewindowfromitsdefaultsizeof1:30mintoabout4min.Doyouwanttodoso(y/n)

复制代码

粗心是问是不是翻开工夫容错以避免客户端与办事器工夫相差太年夜招致认证失利。这个能够依据实践情形来。我的ipad工夫很准（与收集同步的），以是答n，假如一些平板电脑不怎样连网的，能够答y以避免工夫毛病招致认证失利。再一个成绩是

1. Ifthecomputerthatyouareloggingintoisnthardenedagainstbrute-forceloginattempts,youcanenablerate-limitingfortheauthenticationmodule.Bydefault,thislimitsattackerstonomorethan3loginattemptsevery30s.Doyouwanttoenablerate-limiting(y/n)

复制代码

选择是不是翻开实验次数限定（避免暴力打击），天然答y。
成绩答完了，家目次中多出一个.谷歌_authenticator文件（默许权限为400），这时候客户端与办事端已配套起来了，今后不必再运转谷歌-authenticator下令了，不然会从头天生一组暗码。
4、设置SSH考证
此时固然GoogleAuthenticator已设置好了，可是并没有任何步伐会往挪用它。以是必要设置SSH登录的时分往经由过程它考证。
翻开/etc/pam.d/sshd文件，增加
authrequiredpam_谷歌_authenticator.so
这一行，保留。再翻开/etc/ssh/sshd_config文件，找到
ChallengeResponseAuthenticationno
把它改成
ChallengeResponseAuthenticationyes
并保留。最初，输出
servicesshrestart
来重启SSH办事以使用新的设置。
这时候候再用SSH登录的话就会如许了：

登录/注册后可看大图

如许就乐成了。

本文出自“行世界”博客，请务必保存此出处http://luojianlong.blog.51cto.com/4412415/1381725
如果您觉得本篇CentOSLinux教程讲得好，请记得点击右边漂浮的分享程序，把好文章分享给你的小伙伴们！

现在我隆重的宣布本界的诺贝尔文学奖颁发给来自中国的WWW221先生，下面让我们以最诚挚的掌声欢迎楼主发表获奖感言.....

掌握在Linux系统中安装软件，在安装Linux工具盘后大致日常所需的软件都会有,一般网络提供下载的软件都会有安装说明。

熟悉并掌握安装Linux，安装是学习的前提。目前较常见的安装方法有二种：

再次，Linux是用C语言编写的，我们有学习C语言的基础，读程序和编写代码方面存在的困难小一点，也是我们能较快掌握的原因之一。?

学习Linux半年了~个人认为不会的多在网上找资料网上有很多资料可以搜索到,LS那位说放手去搞。

对我们学习操作系统有很大的帮助，加深我们对OS的理解。?

主流Linux发行版都自带非常详细的文档（包括手册页和FAQ），从系统安装到系统安全,针对不同层次的人的详尽文档，仔细阅读文档后40%问题都可在此解决。

通过自学老师给的资料和向同学请教，掌握了一些基本的操作，比如挂载优盘，编译程序，在Linux环境下运行，转换目录等等。学了这些基础才能进行下面的模拟OS程序。?

未来的学习之路将是以指数增加的方式增长的。从网管员来说，命令行实际上就是规则，它总是有效的，同时也是灵活的。