铁威马

#楼主# 2018-12-30 12:58

跳转到指定楼层
本帖最后由 浮云747 于 2018-12-31 14:54 编辑

我们知道通过网页登陆,群晖目前已经给admin用户增加了谷歌二次验证功能

其它普通的用户也可以开启这个谷歌二次验证功能。

但root用户ssh登陆一直没有二次验证,只要输入密码就可以登陆了

很多人为了安全性,就修改了端口,有的直接关闭了这个ssh登陆功能

今天我介绍一种方法,给root超级管理员增加一个谷歌动态口令验证,再一次提高ssh远程登陆的安全,看起来也更有逼格

教程开始
此方法适用于dsm6.X  ,  dsm5.x没有测试不清楚能不能用。

1、首先正常用root用户ssh登陆到群晖修改ssh配置文件,只需要修改几处

配置文件路径  /etc/ssh/sshd_config

vi  /etc/ssh/sshd_config   打开文件后找到如下几处

  1. ChallengeResponseAuthentication yes
  2. UsePAM yes
复制代码

接受所有挑战.jpg 增加谷歌动态验证模块.jpg

2、增加谷歌动态口令验证模块,让ssh服务调用google authenticator pam安全验证模块

配置文件路径   /etc/pam.d/sshd

  1. [root@test ~]# vi /etc/pam.d/sshd      #增加以下代码   
  2. auth required pam_google_authenticator.so
复制代码

配置文件里增加这一行内容.jpg

动态库文件pam_google_authenticator.so 我已经编译好了,附近直接下载即可。

下载后解压出来,一定要放到如下目录  /usr/lib/security  

如下图所示 确保权限是0755

1
[root@test ~]# chmod 0755  /usr/lib/security/pam_goolge_authenticator.so        

动态库文件google-authenticator.so.jpg

pam_google_authenticator.rar (13.68 KB, 下载次数: 1)
360截图20181230125604807.jpg
楼主热帖
那是云论坛 - 国内最开放NAS交流平台
http://www.nasyun.com
分享淘帖
回复

使用道具

0

精华

273

帖子

1531

积分

发烧玩家

Rank: 2

云币
1
贡献
15
活跃
1319
精华
0
雨下得大 发表于 2018-12-30 17:51
啥也不说了,感谢楼主分享哇!
回复 支持 反对

使用道具 举报

0

精华

529

帖子

2662

积分

搞机大神

Rank: 3Rank: 3

云币
0
贡献
47
活跃
2162
精华
0
wjq998 发表于 2018-12-30 23:39
谷歌在中国,能正常访问的人只是少数啊

点评

这个是动态口令验证,不需要网络,你可能没用过。  详情 回复 发表于 2018-12-31 14:58
回复 支持 反对

使用道具 举报

0

精华

164

帖子

5604

积分

人机合一

Rank: 4

云币
0
贡献
721
活跃
1917
精华
0
ihongyi 发表于 2018-12-30 23:44
可以。。。看看能不能用
回复 支持 反对

使用道具 举报

0

精华

46

帖子

867

积分

入门用户

Rank: 1

云币
1
贡献
0
活跃
844
精华
0
爬的蜗牛 发表于 2018-12-31 09:18
技术文档,支持一下。
回复 支持 反对

使用道具 举报

0

精华

23

帖子

351

积分

入门用户

Rank: 1

云币
1
贡献
8
活跃
299
精华
0
浮云747 发表于 2018-12-31 14:58
wjq998 发表于 2018-12-30 23:39
谷歌在中国,能正常访问的人只是少数啊

这个是动态口令验证,不需要网络,你可能没用过。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回列表 搜索 官方QQ群
懒人地图 百度地图 谷歌地图手机版|小黑屋|智能生活 , 上那是云 |闽ICP备12025514号-3