Linux双因素身份认证大全:ssh + console + 图形界面

对于咱们日常运维人员来讲,Linux应该是经常打交道的吧(如果不是,可能不是运维,是维修...开个玩笑),Linux在机房里面的地位就像Windows在办公空间里的地位牢不可破,各类软件的部署首选就是Linux!Linux运维常用的登录入口有3个:

Ssh、console、图形界面(如果有)。

为了更加安全的运维,通常会采用双因素身份认证系统动态口令做登录加固,下面简单聊下针对这3个入口如何做双因素身份认证加固?

首先会部署一套双因素身份认证系统,做账号和令牌的一一绑定、令牌激活等工作,通过管理令牌;

然后在Linux主机部署pam_radius插件,做动态口令输入框;

最后修改Linux文件,分别使ssh、console和图形界面调用双因素认证模块;


是不是很简单?好吧,我拿centos7.8(安装gnome)做个案例:

Linux双因素身份认证大全:ssh + console + 图形界面_第1张图片

1、双因素认证服务端

这边我是用的中科恒伦双因素身份认证服务,具体配置方法不便公开,可以进入中科恒伦官网,联系我们索要安装包和配置方法;

2、在Linux主机部署pam_radius插件

插件里有两个包:libCkey.so  和  pam_radius_auth.so

Linux双因素身份认证大全:ssh + console + 图形界面_第2张图片

将libCkey.so放到/usr/lib64下

将pam_radius_auth.so放到/usr/lib64/security下

至此插件就搞定了,是不是非常简单?

3、修改对应的文件

这里需要注意下,虽然是3个入口,实际上加载的是两个文件,其中console加载的文件是“ /etc/pam.d/system-auth ”,ssh和图形界面加载的同一个文件“ /etc/pam.d/password-auth ”,所以重点需要关照这两个文件,具体如下:

配置认证服务器(这一步是共用!)

# mkdir /etc/raddb //创建raddb文件夹(名字固定)

# vim /etc/raddb/server  //配置认证服务器信息,“server”名字不能变

172.16.146.132      12345678        10  

认证服务器地址         共享秘钥          超时时间


配置console双因素认证

# vim /etc/pam.d/system-auth

直接放修改前后对比图吧,文字描述有点费劲

Linux双因素身份认证大全:ssh + console + 图形界面_第3张图片

△ 修改前

Linux双因素身份认证大全:ssh + console + 图形界面_第4张图片

△ 修改后

登录效果(console)

Login                          //用户名

Password                   //本机静态密码

CkeyPassword          //动态口令

Linux双因素身份认证大全:ssh + console + 图形界面_第5张图片

至此使用动态口令登录console,实现双因素认证。

配置ssh和图形界面双因素认证

首先需要修改  /etc/ssh/sshd_config

# vim  /etc/ssh/sshd_config

    PasswordAuthentication no    

    ChallengeResponseAuthentication yes

    UsePAM yes

Linux双因素身份认证大全:ssh + console + 图形界面_第6张图片

然后修改“ /etc/pam.d/password-auth 

# vim /etc/pam.d/password-auth

* 此处修改方法和system-auth一致

Linux双因素身份认证大全:ssh + console + 图形界面_第7张图片

△ 修改前

Linux双因素身份认证大全:ssh + console + 图形界面_第8张图片

△ 修改后

登录效果(ssh)

如果是图形工具,认证方式选择:Keyboard Interactive,命令行直接ssh

Linux双因素身份认证大全:ssh + console + 图形界面_第9张图片

1、输入用户名

Linux双因素身份认证大全:ssh + console + 图形界面_第10张图片

2、输入本地静态密码

Linux双因素身份认证大全:ssh + console + 图形界面_第11张图片

3、输入动态口令

Linux双因素身份认证大全:ssh + console + 图形界面_第12张图片

登录效果(图形界面)

1、输入用户名

Linux双因素身份认证大全:ssh + console + 图形界面_第13张图片

2、输入本地静态密码

Linux双因素身份认证大全:ssh + console + 图形界面_第14张图片

3、输入动态口令

Linux双因素身份认证大全:ssh + console + 图形界面_第15张图片

至此3个登陆入口都做了双因素身份认证,实现安全访问Linux主机。

关于使用动态口令的好处,网上有很多资料,这里就不做赘述,我后续也会专门写一篇,初定《双因素身份认证动态口令技术原理及优势》供你参考!

你可能感兴趣的:(Linux,双因素认证,身份认证,linux,安全,系统安全,网络安全)