我已经在AlmaLinux 9服务器上为基于密码和密钥的SSH登录实现了多重身份验证(MFA)。虽然 sshd 通常直接处理密钥身份验证,但我已将 sshd 配置为使用 PAM(可插入身份验证模块)进行 MFA。 我当前的设置使用publickey,keyboard-interactivesshdAuthenticationMethods选项。但是,如果公钥身份验证成功,我想跳过 PAM 中的密码提示。 有人对如何实现这一目标有建议吗?以下是一些可能有用的其他详细信息: sshd配置 Match Address 213.10.11.21/32 LocalPo...
我不喜欢随身携带手机并通过短信进行 2FA,但我使用的许多服务都需要它,我的学校也是如此。我的手机也丢了,目前买不起新手机。我有一张包含移动套餐的 SIM 卡;有什么办法可以在我的电脑上获取短信吗? 操作系统:Linux Mint PC:Thinkpad X220 运营商:Koodo 位置:加拿大 谢谢 ...
有没有办法对 Unix PAM 子系统上 SSH 服务器上的所有用户强制执行双因素身份验证 (2FA)? ...
%20%E7%9A%84%20TOTP%20%E5%BA%94%E7%94%A8%E7%A8%8B%E5%BA%8F%EF%BC%8C%E6%9C%80%E5%A5%BD%E6%98%AF%20RPM%EF%BC%9F.png)
不幸的是,我们在一段时间内仍停留在 Scientific Linux 7(RHEL 7 克隆版)上,直到我们准备在今年晚些时候迁移到 Ubuntu。我们的组织现在也开始要求对电子邮件进行 MFA,并且我们需要尝试找到适合 Linux 用户的 TOTP 应用程序(作为智能手机应用程序的备用选项,或适用于没有智能手机的用户)。 KeePassXC确实具有 TOTP 功能,但遗憾的是 EPEL RPM 似乎仅适用于 EL8 及以上版本。如果某个地方有合适的旧版本KeePassXC git 存储库不幸的是,我不知道合适的魔法来尝试找到它。由于我们的系统是自动配置的,...
Github 要求我使用两因素身份验证。 Github 建议使用其中之一: https://support.1password.com/one-time-passwords/ https://authy.com/guides/github/ https://www.microsoft.com/en-us/security/mobile-authenticator-app 我不想使用我的手机,而是使用 Kubuntu 上的程序。基本上,我想截图,而不是使用手机。这可能吗?用什么程序? ...
我使用的是 Debian 12,正在尝试使用 pubkey 和 TOTP 设置 pam_google_authenticator.so 以用于 SSH 2fa。 我使用 google-authenticator 完成设置并输入我的令牌给我的 2FA 代码,它成功了。但输入密码失败。 设置: $ google-authenticator Do you want authentication tokens to be time-based (y/n) y Warning: pasting the following URL into your browser...
我的组织将在几天内需要多重身份验证 (MFA),并且我们使用 Microsoft 帐户。我在互联网上读到有适用于 Linux 的验证器应用程序。其中之一是验证器。 我不是最新的 Microsoft 服务,但是,看起来该应用程序提供了很多服务,即“Microsoft To-Do”和“Microsoft Azure”。另外,在微软的网站上有几种不同的方法:“身份验证器应用程序”、“电话”、“备用电话”、“安全密钥”、“办公电话”。 我尝试设置“身份验证器应用程序”和“安全密钥”身份验证方法。在这两种情况下,我最终都遇到了以下错误: (authenticator:...
我已经使用 libpam-google-authenticator 好几年了。我总是将其设置为需要密码 + TOTP 令牌作为 pam 中的密码。我输入密码,然后按“onlykey”上的按钮,输入 TOTP 令牌并按 Enter 键。无痛且更安全。 SSH 显然使用 RSA,但所有其他登录:X、物理终端、sudo 等都需要密码 + TOKEN。这对于以前的安装来说完美无缺。然而现在,它神秘地失败了。在查看了 github 上的源代码后,我有一个想法,这可能与主机在调整时间偏差并尝试停止重播的多个代码实例中以 null 形式输入有关。 设置完成后,一切似乎都正...
我想确保在不知道密码的情况下,任何人都无法删除/编辑 2FA 凭据等 我可以安全地使用密码保护它们吗?或者还有其他方法可以实现这样的结果吗? 我准确地解释了我的看法。包含文件 /etc/pam.d/common-auth 的文件夹 - 提供 Linux 应该需要 2FA 代码的信息。在系统上的每个操作都需要我编写代码 - root 登录或 sudo 命令。 问题是 - 在救援模式下,这个没有问题的条目可以被删除,从而禁用 2FA - 也就是说,如果我可以在没有 2FA 代码的情况下禁用它,那么原则上 2FA 就没有意义。 有一个与我类似的主题(但与 U2...
我的网络上有一个 2FA 设置,用于某些类型的身份验证,但不用于其他类型的身份验证。当前的工作方式是用于密码的 pam_ldap 和用于 TOTP 的 pam_oath 的组合。 PAM 的配置方式是只需要 pam_ldap 进行本地登录/解锁,只需要 pam_oath 进行 SSH(因为它已经需要公钥),并且只需要 pam_oath 进行 sudo 和 su。 此设置的问题是 pam_oath 从 读取/etc/users.oath。我需要根据 LDAP 内容定期重新生成此文件。更糟糕的是,它还会写入这个文件,我目前只是忽略它。 我想尝试一下 OpenLD...
客户要求我们为 SSH 会话设置 MFA。我已按照本文使用 Google Authenticator 成功测试了 MFA:https://www.linode.com/docs/guides/how-to-use-one-time-passwords-for-two-factor-authentication-with-ssh-on-centos/。 然而,问题是其他工作人员也需要访问该系统。他们每次都可以联系我索要验证码,但我宁愿不这样做。我可以创建多个帐户并为每个人设置 MFA。这意味着他们必须亲自与我在一起,否则我可以让他们通过 Teams 扫描二维码...
是否可以集成双因素身份验证来传输文件或将代码上传到网络服务器? 如果是,它适用于任何客户端还是适用于特定 SFTP 客户端? ...
我遵循了这个指南:https://pimylifeup.com/setup-2fa-ssh/然而,这是我尝试连接时得到的结果(它陷入循环并不断要求输入密码和密钥): ssh [email protected] ([email protected]) Password: ([email protected]) Verification code: ([email protected]) Password: ([email protected]...
我想使用openconnect而不是pulsesecure/pulseUI来连接到我公司的VPN。这在旧服务器中没问题,但在新服务器中添加了 2FA。 我看到了这个https://stackoverflow.com/a/63232539/959179这看起来很有希望。 所以我尝试一个非常基本的测试: echo -e "${myPasswd}\n${freshOTPcode} | sudo openconnect --protocol=pulse --passwd-on-stdin -u [email protected] <vpn serve...
![错误:PAM:[IP] 的 [用户] 的用户帐户已过期](https://linux22.com/image/201290/%E9%94%99%E8%AF%AF%EF%BC%9APAM%EF%BC%9A%5BIP%5D%20%E7%9A%84%20%5B%E7%94%A8%E6%88%B7%5D%20%E7%9A%84%E7%94%A8%E6%88%B7%E5%B8%90%E6%88%B7%E5%B7%B2%E8%BF%87%E6%9C%9F.png)
我目前正在尝试libpam-google-authenticator在 Debian 9.0 VPS 上设置 2FA。我已经使用 安装了该软件包apt,使用该命令对其进行了设置google-authenticator,并将其连接到我手机上的身份验证应用程序。 我的sshd_config看起来像这样: # $OpenBSD: sshd_config,v 1.100 2016/08/15 12:32:04 naddy Exp $ # This is the sshd server system-wide configuration file. S...