之前阿里云的Google Authenticator二次验证觉得挺麻烦，后来发现在这社工库满天飞的时代。。。二次验证还是很有必要的。。

所以这里讲下如何给ssh设置Google Authenticator验证

0x01.安装Google Authenticator

debian/Ubuntu运行以下命令：

sudo apt-get install libpam-google-authenticator

Fedora/centos运行以下命令：

sudo yum install google-authenticator

0x02.生成&绑定密钥

运行命令：

google-authenticator

你会获取到一个secret key（建议直接打开那个网址扫二维码添加，这样比较方便）

Google Authenticator谷歌身份验证器下载：链接: http://pan.baidu.com/s/1gfPOIA3 密码: fret

然后下面几个问题可以查查意思，我都是y过去的

emergency scratch codes（应急码）建议妥善保存

安卓上添加的方法：

点右上角的“设置帐户”就能添加

0x03.启动谷歌身份验证器验证

首先修改/etc/pam.d/sshd

sudo vi /etc/pam.d/sshd

在第一行添加如下内容（表示试了四次发现必须放第一行。。）

auth required pam_google_authenticator.so

修改ssh配置：

sudo vi /etc/ssh/sshd_config

把ChallengeResponseAuthentication项改成yes

然后重启ssh

debian/Ubuntu：

sudo service ssh restart

Fedora/centos7：

sudo systemctl restart sshd

centos6.x：

sudo service sshd restart

然后不要断开ssh，新建一个ssh试试能不能登陆，不能登录就重新搞，以免设置错误导致没法登陆

教程完毕

转载保留版权：晨旭的博客 » 《为ssh登录设置二次验证》

本文链接地址：https://www.chenxublog.com/2016/04/12/ssh-wiht-google-authenticator.html

如果喜欢可以： 点击右侧上方的邮件订阅，订阅本站

相关文章：

使用v2ray+TLS+cloudflare连接另一个局域网 使用lua生成Code128条形码数据（用于微信、支付宝付款码） 利用树莓派实现b站24小时音乐直播 至今有效的从百度云高速下载可行的办法 利用neural-style生成和目标图像风格一致的图片（win10一周年更新版可用）