±£»¤ÄãµÄLinuxЧÀÍÆ÷£ºÓÃÏÂÁîÐоÙÐÐÉí·ÝÑéÖ¤
±£»¤ÄãµÄLinuxЧÀÍÆ÷£ºÓÃÏÂÁîÐоÙÐÐÉí·ÝÑéÖ¤
ÔÚµ±½ñÊý×Ö»¯Ê±´ú£¬±£»¤Ð§ÀÍÆ÷µÄÇå¾²ÒѾ±äµÃÓÈΪÖ÷Òª¡£×÷Ϊһ¸öLinuxЧÀÍÆ÷ÖÎÀíÔ±£¬ÄãÐèÒª½ÓÄÉһϵÁеÄÇå¾²²½·¥À´È·±£Ð§ÀÍÆ÷²»Êܵ½¶ñÒâÈëÇÖºÍδ¾ÊÚȨµÄ»á¼û¡£ÆäÖÐÒ»¸öÒªº¦µÄÇå¾²²½·¥ÊÇʹÓÃÇ¿Ê¢µÄÉí·ÝÑéÖ¤ÒªÁì¡£±¾ÎĽ«ÏÈÈÝÔõÑùʹÓÃÏÂÁîÐоÙÐÐÉí·ÝÑéÖ¤£¬ÒÔÔöÇ¿ÄãµÄLinuxЧÀÍÆ÷µÄÇå¾²ÐÔ¡£
Ò»¡¢Ê¹ÓÃSSHÃÜÔ¿¶Ô¾ÙÐÐÉí·ÝÑéÖ¤
SSH£¨Secure Shell£©ÊÇÒ»¸ö³£ÓõÄÔ¶³ÌµÇ¼ÐÒ飬½ÓÄÉÁ˼ÓÃܵķ½·¨¾ÙÐÐͨѶ¡£Ê¹ÓÃSSHÃÜÔ¿¶Ô¾ÙÐÐÉí·ÝÑéÖ¤±È¹Å°åµÄÓû§ÃûºÍÃÜÂëÈÏÖ¤Ô½·¢Çå¾²¿É¿¿¡£ÏÂÃæÊÇÉèÖÃSSHÃÜÔ¿¶ÔµÄ°ì·¨£º
ÌìÉúSSHÃÜÔ¿¶Ô£º·¿ªÖնˣ¬²¢ÊäÈëÒÔÏÂÏÂÁ
$ ssh-keygen -t rsa -b 4096
ÉÏÊöÏÂÁÌìÉúÒ»¸ö4096λµÄRSAÃÜÔ¿¶Ô¡£
½«¹«Ô¿ÉÏ´«ÖÁЧÀÍÆ÷£ºÊ¹ÓÃÒÔÏÂÏÂÁ¹«Ô¿ÉÏ´«ÖÁЧÀÍÆ÷£º
$ ssh-copy-id username@servername
Ìæ»»usernameΪÄãµÄÓû§Ãû£¬servernameΪÄãµÄЧÀÍÆ÷µØµã¡£
²âÊÔSSHÅþÁ¬£ºÊ¹ÓÃÒÔÏÂÏÂÁî²âÊÔSSHÅþÁ¬ÊÇ·ñÀֳɣº
$ ssh username@servername
ÈôÊÇÅþÁ¬Àֳɣ¬½«ÎÞÐèÔÙÊäÈëÃÜÂë¡£
¶þ¡¢Ê¹ÓöàÒòËØÉí·ÝÑéÖ¤
¶àÒòËØÉí·ÝÑéÖ¤£¨MFA£©ÊÇÒ»ÖÖÔ½·¢Çå¾²µÄÉí·ÝÑéÖ¤ÒªÁ죬ËüÒªÇóÓû§ÌṩÁ½¸ö»ò¶à¸ö×ÔÁ¦µÄÉí·ÝÑéÖ¤ÒªËØ¡£ÔÚLinuxЧÀÍÆ÷ÉÏ£¬Äã¿ÉÒÔʹÓÃGoogle AuthenticatorʵÏÖMFA¡£ÏÂÃæÊÇÉèÖÃGoogle AuthenticatorµÄ°ì·¨£º
×°ÖÃGoogle Authenticator£º·¿ªÖնˣ¬²¢ÊäÈëÒÔÏÂÏÂÁî×°ÖÃGoogle Authenticator£º
$ sudo apt-get install libpam-google-authenticator
Õ⽫װÖÃGoogle Authenticator¿â¡£
ÉèÖÃGoogle Authenticator£ºÊäÈëÒÔÏÂÏÂÁîÉèÖÃGoogle Authenticator£º
$ google-authenticator
ÔÚÉèÖÃÀú³ÌÖУ¬Ä㽫±»ÒªÇó»Ø¸²Ò»Ð©ÎÊÌ⣬²¢ÌìÉúÒ»¸ö¶þάÂë¡£
ÉèÖÃPAMÄ£¿é£ºÊ¹ÓÃÎı¾±à¼Æ÷·¿ª/etc/pam.d/sshdÎļþ£¬²¢Ìí¼ÓÒÔÏÂÄÚÈÝ£º
auth required pam_google_authenticator.so
È·±£¸ÃÐÐÔÚChallengeResponseAuthentication֮ǰ¡£
ÖØÐÂÆô¶¯SSHЧÀÍ£ºÊäÈëÒÔÏÂÏÂÁîÒÔÖØÐÂÆô¶¯SSHЧÀÍ£º
$ sudo service ssh restart
Õ⽫ʹGoogle AuthenticatorÉúЧ¡£
²âÊÔMFA£ºÊ¹ÓÃÖն˵ǼLinuxЧÀÍÆ÷ʱ£¬³ýÁËÊäÈëÓû§ÃûºÍÃÜÂëÍ⣬»¹½«ÒªÇóÊäÈëGoogle AuthenticatorÌìÉúµÄÑéÖ¤Âë¡£
Èý¡¢½ûÓÃrootÓû§Éí·ÝÑéÖ¤
rootÓû§ÊÇLinuxЧÀÍÆ÷ÉϾßÓÐÍêȫȨÏ޵ij¬µÈÓû§¡£ÎªÁËÌá¸ßЧÀÍÆ÷µÄÇå¾²ÐÔ£¬ÎÒÃÇͨ³£½¨Òé½ûÓÃrootÓû§Ö±½ÓµÇ¼¡£È¡¶ø´úÖ®µÄÊÇ£¬Äã¿ÉÒÔ½¨ÉèÒ»¸öͨË×Óû§£¬²¢ÎªÆ丶ÓësudoȨÏÞ¡£ÏÂÃæÊǽûÓÃrootÓû§µÄ°ì·¨£º
½¨ÉèÒ»¸öÐÂÓû§£ºÊ¹ÓÃÒÔÏÂÏÂÁÉèÒ»¸öÐÂÓû§£º
$ sudo adduser username
½«usernameÌ滻ΪÄãÏ뽨ÉèµÄÓû§Ãû¡£
ΪÐÂÓû§¸¶ÓësudoȨÏÞ£ºÊäÈëÒÔÏÂÏÂÁîΪÐÂÓû§¸¶ÓësudoȨÏÞ£º
$ sudo usermod -aG sudo username
½«usernameÌ滻ΪÄ㽨ÉèµÄÓû§Ãû¡£
½ûÓÃrootÓû§µÇ¼£ºÊ¹ÓÃÒÔÏÂÏÂÁî±à¼/etc/ssh/sshd_configÎļþ£º
$ sudo nano /etc/ssh/sshd_config
ÔÚÎļþÖÐÕÒµ½ÒÔÏÂÐУº
PermitRootLogin yes
½«¸ÃÐÐÐÞ¸ÄΪ£º
PermitRootLogin no
ÉúÑÄÎļþ²¢ÖØÐÂÆô¶¯SSHЧÀÍ£º
$ sudo service ssh restart
ÏÖÔÚ£¬ÄãµÄLinuxЧÀÍÆ÷½«²»ÔÊÐírootÓû§Ö±½ÓµÇ¼¡£
ͨ¹ýÒÔÉÏÈý¸ö°ì·¨£¬Äã¿ÉÒÔÓÃÏÂÁîÐÐʵÏÖÔ½·¢Çå¾²µÄÉí·ÝÑéÖ¤À´ÔöÇ¿ÄãµÄLinuxЧÀÍÆ÷µÄÇå¾²ÐÔ¡£SSHÃÜÔ¿¶Ô¡¢¶àÒòËØÉí·ÝÑéÖ¤ºÍ½ûÓÃrootÓû§µÇ¼¿ÉÒÔ´ó´óïÔ̶ñÒâÈëÇÖºÍδ¾ÊÚȨ»á¼ûµÄΣº¦¡£Òò´Ë£¬ÔÚÖÎÀíºÍ±£»¤ÄãµÄLinuxЧÀÍÆ÷ʱ£¬È·±£Ê¹ÓÃÕâЩÇå¾²²½·¥ÊÇÖÁ¹ØÖ÷ÒªµÄ¡£±£»¤ÄãµÄЧÀÍÆ÷£¬±£»¤ÄãµÄÊý¾ÝÇå¾²¡£
ÒÔÉϾÍÊDZ£»¤ÄãµÄLinuxЧÀÍÆ÷£ºÓÃÏÂÁîÐоÙÐÐÉí·ÝÑéÖ¤µÄÏêϸÄÚÈÝ£¬¸ü¶àÇë¹Ø×¢±¾ÍøÄÚÆäËüÏà¹ØÎÄÕ£¡