centos 添加ssh用户,centos 删除用户
大家好,感谢邀请,今天来为大家分享一下centos 添加ssh用户的问题,以及和centos 删除用户的一些困惑,大家要是还不太明白的话,也没有关系,因为接下来将为大家分享,希望可以帮助到大家,解决大家的问题,下面就开始吧!
如何为Linux系统中的SSH添加双重认证
近来很多知名企业都出现了密码泄露,业内对多重认证的呼声也越来越高。在这种多重认证的系统中,用户需要通过两种不同的认证程序:提供他们知道的信息(如用户名/密码),再借助其他工具提供用户所不知道的信息(如用手机生成的一次性密码)。这种组合方式常叫做双因子认证或者两阶段验证。
为了鼓励广泛采用双因子认证的方式,Google公司发布了Google Authenticator,一款开源的,可基于开放规则(如 HMAP/基于时间)生成一次性密码的软件。这是一款跨平台软件,可运行在Linux, Android, iOS。Google公司同时也支持插件式鉴别模块PAM(pluggable authentication module),使其能和其他也适用PAM进行验证的工具(如OpenSSH)协同工作。
在本教程中,我们将叙述集成OpenSSH和Google提供的认证器实现如何为SSH服务设置双因子认证。我将使用一款Android设备来生成一次性密码,本教程中需要两样武器:(1)一台运行着OpenSSH服务的Linux终端,(2)一台安卓设备。
在Linux系统中安装Google Authenticator
第一步需要在运行着OpenSSH服务的Linux主机上安装Google认证器。按照如下步骤安装Google认证器及其PAM模块。
用安装包安装 Google Authenticator
如果你不想自己构建 Google Authenticator,在几个 Linux发行版上有已经编译好的安装包。安装包里面包含 Google Authenticator二进制程序和 PAM模块。
在 Ubuntu上安装 Google Authenticator:
$ sudo apt-get install libpam-google-authenticator
在 Fedora上安装 Google Authenticator:
$ sudo yum install google-authenticator
在 CentOS上安装 Google Authenticator,需要首先启用 EPEL软件库,然后运行如下命令(LCTT译注:EPEL库中可能已经删除了该软件包,请使用源代码编译方式安装):
$ sudo yum install google-authenticator
如果不想使用已经编译好的安装包,或者你的 Linux发行版不在此列,可以自行编译:
在 Linux上编译 Google Authenticator
首先,安装构建 Google Authenticator所需的软件包。
在 Debian、 Ubuntu或 Linux Mint上:
$ sudo apt-get install wget make gcc libpam0g-dev
在 CentOS、 Fedora或 RHEL上:
$ sudo yum install wget make gcc pam-devel
然后下载 Google Authenticator的源代码,并按如下命令编译(已经从 Google Code迁移到了 Github)。
$ wget
$ unzip master.zip
$ cd google-authenticator-master/libpam
$./bootstrap.sh
$./configure
$ make
如果构建成功,你会在目录中看到 pam_google_authenticator.so和 google-authenticator两个文件。
最后,将 Google Authenticator安装到合适位置。默认会安装到/usr/local/lib/security下,根据你的系统不同,你可能需要将其符号链接到 pam库的位置(比如 CentOS 7会在/usr/lib64/security)。
$ sudo make install
排错
当编译 Google Authenticator时出现如下错误:
fatal error: security/pam_appl.h: No such file or directory
要修复这个问题,请安装如下依赖包。
在 Debian、 Ubuntu或 Linux Mint上:
$ sudo apt-get install libpam0g-dev
在 CentOS、 Fedora或 RHEL上:
$ sudo yum install pam-devel
当Google认证器安装好后,你需要在Linux主机上创建验证密钥,并且在安卓设备上注册,注意这项配置操作是一次性的。我们将详细叙述如何完成这些操作:
生成验证密钥
在Linux主机上运行Google认证器
$ google-authenticator
你将看到一个QR码,它使用如下图形表示我们数字形态的密钥。一会我们要用到它在安卓设备上完成配置。
提升Linux安全性:给主机添加ssh双因子认证
在信息时代,确保Linux主机的安全至关重要。尤其对于SSH连接,当密码设置较弱时,暴力破解风险较高。本文将介绍如何通过Google Authenticator实现双因素认证,为SSH登录增加额外安全层。配置完成后,用户在输入密码后还需通过手机客户端验证动态验证码,实现更安全的登录。
首先,确保Linux系统已安装Google Authenticator插件。在CentOS 7系统上执行相应命令进行安装。
接下来,编辑SSH配置文件,确保启用双因素认证选项。使用文本编辑器保存更改。
通过执行命令进行SSH配置初始化,生成二维码和备用验证码。记住生成的key,或通过扫描二维码快速配置。
修改PAM配置文件,引入Google Authenticator模块,确保新配置生效时重新启动SSH服务。
下载并安装Google Authenticator或类似应用,配置应用以添加新的身份验证令牌。使用步骤中生成的二维码扫描或手动输入密钥。
完成应用配置后,动态验证码将实时刷新。至此,Linux SSH已成功集成Google Authenticator双因素认证,确保登录时除了密码验证外,还需通过动态码进行双重确认。
为了验证配置效果,使用XShell等客户端尝试SSH登录。同时,通过终端执行SSH登录,确保新安全措施有效实施。
centos创建用户无法登录
在CentOS中,假若一切都顺利的话,你建新一个用户,它就自动添加到SSHD登录服务中的处得了,不必手动或再设置什么,但有些情况下,我们的系统只允许root用户登录,那么,我们就要进行一些必要的设置,具体步骤如下:
1、你用法登录时,请你确保你所输入的用户名及密码的正确性,用户名最好在/home/下可以看到它的相关的文件夹,若是新建无home用户,那你也得查看/etc/passwd文件中是否已经存在相关的用户名及其他内容。
2、查看#vim/etc/ssh/sshd_config文件会发现已经开户了UsePam这个认证。
3、解决方法:修改#vim/etc/security/access.conf中的“-:ALL EXCEPT root:ALL”
为“-:ALL EXCEPT root yourusername:ALL”。
4、重启sshd服务。注意:如果你是通过远程登录修改本配置的,上述中的“root”用户,不能去掉,否则出现什么异常情况的话,你就必须要另想办法再登录进去了,如果本配置修改成功了,你就可以再去掉root用户的登录认证了。
