给 SSH 服务添加两步验证
还是安全
上篇讲到添加一道安全防线,这里又是添加,而且很关键,算是最后一道防线。步骤:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
#安装 Google Authenticator apt install -y libpam-google-authenticator #运行 Google authenticator google-authenticator #下面一行添加到 /etc/pam.d/sshd 文件最后面 auth required pam_google_authenticator.so #确保以下条目在 /etc/ssh/sshd_config 文件中正确存在 KbdInteractiveAuthentication yes ChallengeResponseAuthentication yes UsePM yes AuthenticationMethods publickey,keyboard-interactive #最后重启 ssh 服务 systemctl restart sshd |
后果
为什么要讲后果,而不是讲效果、成果,因为安全是确实安全,但同时也多少带来不便,首先,很多 SSH 客户端无法使用,包括手机安卓 SFTP 客户端,以及已经充当主力的自建网页端 Docker SSH 服务亦不能使用,都是因为两步验证,只得弃用,手机 SFTP 客户端费不少劲,终于找到一个能用的,效果还不错,就是每次都得输好几个密码,稍微麻烦点儿。最终,目前是需要输入用户密码、密钥密码、两步验证码,好在电脑主力 SSH 和手机主力 SSH 工具都可以自动保存前两个密码,只用输入两步验证码即可,其他工具和软件,我是指目前测试过的无论是电脑还是手机,都无法很完美的满足需求,几乎都要每次登录输入所有三个密码,这谁受得了。但,一切出于安全,值得。
THE END
