通过微信小程序“运维密码”实现SSH双身份认证

近来京东、优酷等多家知名企业都发生了密码泄露造成用户隐私泄露。可见股票是什么意义？造成用户隐私泄露。可见单一密码对敏感和重要信息进行保护力量越来越弱所面临的挑战亦是愈发严峻。因此业内对多重认证的呼声也越来越高而其中的双因子认证得到了业界的普遍认可。本文主要介绍SSH双因子认证结合了当下热门的微信小程序的“运维密码”来实现认证保护。

对于网络信息系统来说能否识别使用者的身份Adobe Photoshop CC调节能否识别使用者的身份是能否确保安全的基础和关键。在实际应用中许多网络信息系统都会要求使用者在使用系统之前Adobe Photoshop CC调节许多网络信息系统都会要求使用者在使用系统之前提供一些相关信息用以实现对使用者的身份认证。双因子认证（2FA）弥补了传统密码认证方法的很多弊端是指结合密码以及实物（信用卡、SMS手机、令牌或指纹等生物标志）两种条件对用户进行认证的方法。

SSH双因子认证

在实现多重认证的系统中用户需要通过两种不同的认证程序：用户知道的信息（如用户名/密码）和用户不知道的信息（如用手机生成的一次性密码）想必绝大部分系统管理员都知道OTPOTP即一次性口令最常见的一次性口令是基于时间的一次性口令（TOTP）最常见的方式是采用Google身份验证器Google Authenticator来提供基于时间的一次性口令。

在SSH服务器端安装Google身份验证器服务器端组件这样在使用密码或密钥登录SSH服务器时同时通过与Google身份验证器相匹配的客户端所提供的验证信息来确认登录者的身份和权限。由于Google身份验证器没有办法备份场景这使得使用该身份验证器的人时时处于手机丢失的恐慌之中。于是Linux中国旗下的LCTT技术组开发了一款旨在移动互联网场景中提供更好的多因子认证体验的小程序：运维密码基于微信平台提供OTP口令管理功能。

如何使用“运维密码”为SSH服务提供双因子认证支持

第一步需要在运行着OpenSSH服务的Linux主机上安装Google身份验证器服务器端组件。

首先Adobe Photoshop CC调节需要在运行着OpenSSH服务的Linux主机上安装Google身份验证器服务器端组件。

首先安装构建Google身份验证器所需的软件包。

在CentOS、Fedora或RHEL上：

在CentOS上安装Google身份验证器服务器端组件需要启用EPEL软件库然后运行如下命令：

接着下载 Google 身份验证器服务器端组件的源代码：

编译安装 Google 身份验证器服务器端组件：

如果构建成功你会在目录中看到pam_google_authenticator.so和google-authenticator两个二进制文件。

最后将Google身份验证器的服务器端组件安装到合适位置。其默认会安装到 /usr/local/lib/security下根据你的系统不同你可能需要将其符号链接到pam库的位置（比如CentOS7会在/usr/lib64/security）。如下图所示：

至此Google身份验证器服务器端组件安装完成。

第二步需要对Google身份验证器服务器端组件、“运维密码”、OpenSSH进行配置

先配置Google身份验证器服务器端组件

使用以下命令生成验证密钥：

这里需要输入y选择基于时间生成验证码

之后你将看到一个代表着该“场景”密钥的二维码和密钥字符串它使用如下二维码图形格式表示我们数字形态的密钥