使用TFA加密ubuntu服务器登陆
作者:linux120 发布时间:February 12, 2015 分类:服务器配置
服务器除了使用私钥登陆禁用密码登陆外如果必须采用明文密码登陆,建议添加Google Two-Factor Authentication二次验证密钥,即动态密码。
首先安装TFA软件:
apt-get install libpam-google-authenticator
要开启二次验证需要修改下列配置:
在/etc/pam.d/sshd文件顶部添加auth required pam_google_authenticator.so
在/etc/ssh/sshd_config找到如下并修改成yes: ChallengeResponseAuthentication yes
绑定密钥到手机:
google-authenticator执行完后会显示二维码。请在手机上下载并使用FreeOTP扫描该二维码即可绑定。
然后重启/etc/init.d/ssh restart
再次登陆的时候就需要先打开FreeOTP找到你的密码项输入动态密码后才会跳出服务器原始密码验证。这样即便原始密码泄露对方也没有TFA的动态密码从而无法登陆服务器。