我正在尝试使用 libpam-google-authenticator 通过 ssh 启用 2FA。并非所有用户都需要启用身份验证器。每个人都使用 ssh 公钥,没有人有密码。我正在运行 Debian buster,我也尝试过 bullseye 的 libpam-google-authenticator。 我的问题是,无论我在 PAM 配置中输入什么,未启用身份验证器的用户永远不会直接登录,但总是要求输入密码。 我已经安装了 libpam-google-authenticator 并使用以下命令配置了 /etc/ssh/sshd_config: Passwo...
令人惊讶的是,我还没有在 ServerFault 上看到这个问题。我想知道硬件令牌与软件令牌在双因素身份验证方面的优缺点——仅从安全性的角度考虑,而不是从便利性的角度考虑。我指的只是基于时间的一次性密码生成器。 在安全性方面,有明显的赢家吗?它是否根据安装软件令牌(应用程序)的平台而有所不同? ...
我正在尝试寻找如何使用 Google Authenticator 为登录 Jenkins 的用户设置 2FA/MFA。 我发现的所有内容都与服务器/git/等的登录有关,但与 Jenkins 中的实际用户无关。 有谁知道如何做到这一点? ...
是的,它确实因为 客户有实体 iPhone 顾客是指纹的主人 但事实并非如此因为 1=>2:如果你偷了客户的 iPhone,那么你就可以获取指纹。 例如,英国金融行为监管局已批准 Starling Bank广告正是这种机制。我敢肯定他们不是唯一一家银行。但要想获得银行账户,就必须付出伪造指纹的成本。 ...
我尝试在使用 SSH 连接到我的 redhat ec2 实例时配置双因素身份验证。 我想这样配置它: 如果用户同时设置了 ssh 密钥和 google 身份验证,请使用这两个因素 如果用户没有 ssh 密钥,请使用密码和 google auth 如果用户只有密码,这就足够了 我已经使它部分工作了,但是在当前配置下,我现在面临的问题是: 仅设置了密码的用户会被提示输入两次密码,但仍被授予访问权限(这不是我主要关心的问题) 配置了 google 身份验证器的用户会被提示输入密码,输入密码后会提示输入验证码。如果您输入了错误的验证码,系统会再次提示您...
我的公司访问第三方网站,该网站使用简单的用户名 + 密码身份验证方法。该供应商可以将应用程序访问(网站)限制在定义的 IP 范围内。我们正在尝试实施双因素身份验证来保护网站。我们无法访问网站供应商的源代码,因此我们无法在网站上实施 2FA 原生验证。 我正在考虑创建一个带有 2FA 的 AWS EC2 实例,并将第三方供应商网站限制在该 IP 上。 其他选择是创建一个代理服务器(使用 2FA,我不知道是否可行)并将 IP 地址限制为代理。 这是最佳实践吗?还有人有其他想法吗? ...
在我当前的环境中,所有 Linux 服务器只能通过启用了 MFA 的堡垒主机访问。 我已经设法让 Ansible 通过堡垒成功与服务器通信,唯一的问题是它为每个主机建立了到堡垒的新连接,这意味着我必须输入与服务器数量相同的 MFA 密钥。糟糕的时刻。 :( 我尝试在我的 ssh 配置中摆弄类似这样的内容以尝试使多路复用正常工作: Host bastion ControlMaster auto ControlPath ~/.ssh/ansible-%r@%h:%p ControlPersist 5m 不幸的是,它似乎没有这样做。有人能告诉...
我有这个漂亮的小型 yubikey,我想在验证 ssh 会话时增加额外的安全层。在服务器端,我已经禁用密码验证,并且只允许在登录时使用 ssh 密钥。 问题是,在为 yubikey 身份验证配置 sshd 和 PAM 后,sshd 仍然只需要 ssh 密钥,而从未要求我提供 yubikey 的响应。 我如何要求两个都和 ssh 密钥和yubikey? (ubuntu 14.04 - trusty) /etc/pam.d/common-auth: auth required pam_yubico.so mode=client try_first_p...
有多个 Roundcube 插件提供双因素身份验证。但是,我现在发现的问题是,我仍然可以通过 IMAP/SMTP 直接登录,而不需要 2-FA(显然)。2-FA 在这里(实际上)没用。 我认为我可以通过引入特定于应用程序的密码并采取类似措施来解决这个问题,就像谷歌对他们的 2-FA 和不支持它的应用程序所做的事情一样。 现在,我想我可以为每个用户自动生成一个 Roundcube 的应用专用密码,该密码与用于登录 Roundcube Web 界面的密码不同。结果是用户仍然可以使用自己的密码 + 2-FA 登录 Roundcube,但不能直接将相同的密码用于...
我正在尝试设置一种情况,其中 SSH 授权密钥 + Google 身份验证器代码足以通过 ssh 进入服务器。 对于正常的 SSH 终端操作来说,这工作得很好 - 我被提示输入验证码,我可以输入该验证码,然后我就被授予访问权限。 但是,当尝试从专用客户端(Cyberduck 等)或任何其他可通过 SFTP(Coda)访问的应用程序使用 SFTP 时,我无法登录。 我确实看到这些应用程序提示输入密码,但它似乎不想将凭据传递到另一个身份验证模块。 有什么方法可以配置 Google 身份验证器模块以接受已通过其他模块传递的凭据?我猜是 use_la...
我是双因素身份验证方面的新手。我大致知道在单个服务器上实施双因素身份验证。但我想知道是否有在多台服务器上实施双因素身份验证的标准解决方案。 设想: 因此,我想为许多 *nix 机器(大约 50 台)启用双因素身份验证。如果我使用 google authenticator 启用双因素 ssh 身份验证(https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-two-factor-authentication),生成并跟踪单个授权码似乎不是一个好主意。有什么方法...
编辑:如果该服务 i) 托管/SaaS 且 ii) 能够发送短信,那么类似于 Authy 的东西也可以工作。 大多数示例都提倡使用 RADIUS 进行双因素身份验证,但我已经使用 OpenLDAP 进行集中身份验证,因此不想添加其他本地服务来管理(但我很乐意呼叫 Authy)。 我想要进行双因素身份验证的应用程序本身是一个 Tomcat 应用程序,它有自己的内部基于表单的身份验证,它将作为第二身份验证类型(见下文)。 Apache httpd* 用于反向代理应用程序(就像我们对所有 Tomcat 应用程序所做的那样),这样我就可以保护此时的资源(就像...
我正在研究使用 linOTP 和 Radius 为所有网络登录(服务器、工作站、交换机等...)添加双因素身份验证的可能性。到目前为止,我已经能够为 Linux、Windows、交换机、VPN 等设置它...但是,我找不到任何关于如何在 OSX 上为 VNC/ARD 启用 2FA 的文档或线索。SSH 的 2FA 已经在 OSX 上运行。我不想对本地访问使用 2FA,只希望使用远程访问。所以我认为通过 /etc/pam.d/login 添加 2FA 不是一个选择。 问候, Koen ...
我已经设置了 FreeRADIUS、PAM 和 Google Authtenicator。FreeRADIUS 调用 PAM,PAM 又调用 Google pam_google_authenticator.so 库。一切顺利。 但是,这并不是真正的双因素身份验证,因为只需要 Google App 中的 OTP。要获得两个 2FA,我想使用本地 Linux 密码。由于这是通过 RADIUS 进行的,因此我无法提示输入两个密码,而需要将它们合并为一个。根据 Google Auth README 和我发现的各种博客,我应该在 PAM 中执行此操作: au...
我一直在寻找与 Zimbra 开源版本配合良好的双因素身份验证。 我看过的产品之一——eToken PASS(http://www.safenet-inc.com/multi-factor-authentication/authenticators/one-time-password-otp/etoken-pass/) 需要在 Windows 上运行的软件,而我内部没有任何 Windows 服务器,因此对我来说不起作用。此外,一些使用 Outlook 的用户将无法使用此方法进行身份验证。 更直接的选择是:http://www.safenet-inc.co...