当然,如果经常要登录 SSH 的话,每次这样输入未免太麻烦了,好在,这个额外的认证步骤与以前的公私钥认证是可以同时使用的。所以在自己的桌面电脑上可以做一下公私钥认证:
ssh-keygen #生成密钥对,一路回车即可,已经生成过的不用生成了
ssh-copy-id root@example.org #把公钥添加到 VPS 上
这样达到的效果是,以后在自己的电脑上 SSH 到 VPS 的时候,是不需要输入任何密码的,可以直接连接,而在陌生的电脑上需要管理 VPS 时,需要输入账户密码及 Google Authenticator 的验证码。而想要从网络上攻击你的 VPS 的坏人,就算猜出、枚举出 VPS 的密码由于没有手机上 Google Authenticator 的验证码,就没办法了……
三、用 Google Authenticator 增强 WordPress 安全性SSH 登录已经有 Google Authenticator 保护了,但是服务器运行的程序还没有,比如 WordPress。相对于 MySQL 漏洞攻击等高难度操作,我觉得 WordPress 被攻破的可能性更大:毕竟也只有一个短短的密码保护着。好在由于 WordPress 是“大路货”,用的人很多,插件自然也不少,有人便开发出了 WordPress 用的 Google Authenticator 的插件。启用方法如下:
在 WordPress 后台搜索并安装 Google Authenticator 这个插件,启用之。
在 WordPress 后台个人 Profile 页面 Google Authenticator Settings 选项下,选中 Active,填好 Description(只是在手机上显示的名字而已),再点击 Show/Hide QR Code。
在 Google Authenticator 应用程序中扫描这个 QR 码以添加账号,或者手工输入 Secret 也行。
配置成功以后,再登录 WordPress 后台的时候就会是这样的:
不输入正确的 Google Authenticator code 是不能登录的。当然在自己的电脑上是可以勾选 Remember Me 以减少麻烦的。
四、用 Google Authenticator 增强桌面电脑的安全性?本文第二节讲了如何把 Authenticator 用在 VPS 上以增强 SSH 登录时的安全性。自然,Authenticator 也是能用在装有 GNU/Linux 的桌面电脑上的。安装模块的方法和在 VPS 上是一样的,手机上配置也是一样,但是调用的时候是不同的。
进入 /etc/pam.d/ 目录,可以看到一些文件:
wzyboy@vermilion:/etc/pam.d$ ls
atd common-password lightdm-autologin ppp
chfn common-session login samba
chpasswd common-session-noninteractive newusers sshd
chsh cron other su
common-account cups passwd sudo
common-auth lightdm polkit-1 xscreensaver
这些文件从文件名就能看出它们是干嘛的:控制一些重要操作的认证。在 VPS 中,我们在 sshd 中添加了 auth required pam_google_authenticator.so 这一行,于是在 SSH 登录的时候就会调用 Authenticator 来认证。在别的文件中加入 auth required pam_google_authenticator.so 这一行的话,就会在相应的操作中调用 Authenticator 来认证了。下面是几个重要的:
当然,如果你的电脑像我一样装了 OpenSSH Server 的话,也可以在 sshd 中加入 auth required pam_google_authenticator.so 这一行,使坏人无法从公网上登录你的电脑。
五、尾声相对前几篇博客,这篇博客写得有一些仓促。并且,教程的内容并不怎么复杂,Linux 的高级用户肯定都会的,所以本文的目标读者只能是刚接触 Linux VPS 的用户了,希望能帮到他们。