Google Authenticator
是个好东西。它不光可以提升 Google账户登陆的安全性,更因为它开源的特色,被布署到其他地方选拔。举例 Linux
PAM、WordPress 等,使客商能够信赖 Google 的那套 OTP
方案,增加本人的服务器、网址和村办计算机的安全性。我以前就写过一篇详细的教程《用
Google Authenticator 抓牢 VPS 及 WordPress
以至桌面计算机的安全性》,介绍怎么样把
Google Authenticator 陈设到服务器、WordPress
和村办计算机上。若是你认为那还相当不够安全来讲,本文将会教会你怎样把它配备到
Apache 里。

价值观地用 SSH 登入 VPS
的时候,靠的只是一串字符密码,倘使密码被泄漏、被猜解、被暴力枚举成功,那么
VPS
就完全暴光在歹单手中了。安全意识高级中学一年级些的客户会采用集体钥替代字符来登入,不过如此的弱点是一旦在面生的微机上想要有时登陆一下,由于未有私钥,也就不能够了。守旧地登陆WordPress
的时候,更是只有一个密码,假诺被败露、猜解、暴力枚举,辛劳累苦经营的博客就完蛋了。

那就是客户认证的一种才能。客商认证是爱慕网络系统财富的第一道防线,它决定着富有登入并检查访谈客户的合法性,其指标是仅让官方客商以合法的权限访问网络种类的财富。基本的客户认证技术是“客商名+密码”。
Apache是当下风行的Web服务器,可运转在Linux、Unix、Windows等操作系统下,它能够很好地消除“客户名+密码”的辨证难点。Apache客商认证所必要的客户名和密码有二种区别的储备格局:一种是文本文件;另一种是MSQL、Oracle、MySQL等数据库。下边以Linux的Apache为例,就那二种存贮方式,分别介绍如何贯彻客商认证功用,同临时间对Windows的Apache客户认证作简要的证实。
一. 选用文本文件存款和储蓄
这种认证方式的主干思维是:Apache运营认证作用后,就足以在须求限制访谈的目录下建构一个名叫.htaccess的文件,钦赐认证的计划命令。当用户率先次访谈该目录的公文时,浏览器会彰显贰个会话框,供给输入客户名和密码,进行顾客地点的认可。如果合法客商,则展现所访谈的页面内容,此后拜访该目录的各种页面,浏览器自动送出客商名和密码,不用再输入了,直到关闭浏览器甘休。以下是贯彻的具体步骤:
以最好顾客root走入Linux,尽管Apache
1.3.12早就编写翻译、安装到了/usr/local/apache目录中。缺省景观下,编写翻译Apache时自行步向mod_auth模块,利用此模块能够兑现“客户名+密码”以文件文件为存款和储蓄形式的表达功用。
1.修改Apache的配备文件/usr/local/apache/conf/httpd.conf,对验证财富随地的目录设定配置命令。
下例是对/usr/local/apache/htdocs/members目录的配备:
<Directory /usr/local/apache/htdocs/members>
Options Indexes FollowSymLinks
allowoverride authconfig
order allow,deny
allow from all
</Directory>
里面,allowoverride
authconfig一行表示同意对/usr/local/apache/htdocs/members目录下的文本进行客户认证。
2.在限定访谈的目录/usr/local/apache/htdocs/members下成立一个文件.htaccess,其剧情如下:
AuthName \”会员区\”
AuthType basic
AuthUserFile/usr/local/apache/members.txt
require valid-user
证实:文件.htaccess中常用的布置命令有以下多少个:
1)AuthName命令:钦赐认证区域名称。区域名称是在提拔要求表达的对话框中显示给顾客的。
2)AuthType命令:钦点认证项目。在HTTP1.0中,独有一种注脚项目:basic。在HTTP1.1中有三种评释项目,如MD5。
3)AuthUserFile命令:钦定四个含有顾客名和密码的公文文件,每行一对。
4)AuthGroupFile命令:钦赐满含顾客组清单和这几个组的积极分子清单的文件文件。组的分子之内用空格分开,如:managers:user1
user2。
5)require命令:钦点哪些客商或组能力被授权访谈。如:
require user user1 user2 (唯有客户user1和user2可以访谈)
require group managers (唯有组managers中成员能够访谈)
require valid-user (在AuthUserFile钦定的文件中另外客商都得以访谈)
3.采用Apache附带的程序htpasswd,生成包蕴客户名和密码的文本文件:/usr/local/apache/members.txt,每行内容格式为“客商名:密码”。
#cd /usr/local/apache/bin
#htpasswd -bc ../members.txt user1 1234
#htpasswd -b ../members.txt user2 5678
文件文件members.txt含有七个顾客:user1,口令为1234;user2,口令为5678。注意,不要将此文件文件寄存在Web文书档案的目录树中,以防被客户下载。
欲掌握htpasswd程序的协助,请实践htpasswd -h。
当客户数量相当少时,这种方法对客户的注脚是谋福、省事的,维护专门的学业也大约。可是在顾客数量有数万人,以至数100000人时,会在搜索客户上花掉一定期间,从而裁减服务器的频率。这种气象,应运用数据库格局。
二. 采纳数据仓库储存款和储蓄
脚下,Apache、PHP4、MySQL三者是Linux下营造Web网址的顶级搭档,那四个软件都以无需付费软件。将三者结合起来,通过HTTP协议,利用PHP5和MySQL,达成Apache的客商认证功能。
唯有在PHP5以Apache的模块格局来运转的时候工夫开展顾客认证。为此,在编写翻译Apache时供给进入PHP5模块一同编写翻译。要是PHP5作为Apache的模块,编写翻译、安装Apache到/usr/local/apache目录,编写翻译、安装MySQL到/usr/local/mysql目录。然后开展下面包车型地铁手续:
1.在MySQL中树立三个数据库member,在里头树立三个表users,用来存放在合法客户的客户名和密码。
1)用vi命令在/tmp目录创立一个SQL脚本文件auth.sql,内容为:
drop database if exists member;
create database member;
use member;
create table users (
username char(20) not null,
password char(20) not null,
);
insert into users values(\”user1\”,password(\”1234\”));
insert into users values(\”user2\金沙注册送58,”,password(\”5678\”));
2)运营MySQL客商程序mysql,实践上述SQL脚本文件auth.sql的通令,
在表users中加进四个顾客的记录。
#mysql -u root -pmypwd</tmp/auth.sql
2.编写制定三个PHP脚本头文件auth.inc,程序内容为:

金沙注册送58 1

金沙注册送58 2

复制代码 代码如下:

一、谷歌 Authenticator 的 Apache 模块的优势

哪些巩固服务器的安全性?这一个标题根本都是站长们的座谈难题。从 SSH
登入方面来讲,能够界定 IP
地址登陆,能够禁用密码登入(仅用公钥登入),可以用
Fail2ban
来对付它们,以至能够把尝试暴力破解的 IP 加到 iptables
黑名单中等。然而,Web
前端如何是好?总不能够限制 IP 地址访谈吧?比方 WordPress 的治本后台和
phpMyAdmin
的登陆页面,就是很轻易受到攻击的地方。为了守护这种人肉攻击,简单点地做法是用mod_auth_basic

mod_auth_digest
来实行认证,高端一点来讲,能够用
mod_ssl
中的双向 TLS 认证。可是后边贰个太轻巧,借使页面是 http://
的话,密码是公然传输的,对攻击者来讲十二分有协助的,而后人相对来讲相比较复杂,要协调树立并保证多少个CA,恐怕要求花钱去请第三方 CA 具名证书。而 谷歌 Authenticator 的
Apache 模块
mod_authn_google
则提供一种经济、方便、简洁、有效的表明方法:动态密码验证。

相对 mod_auth_basic 来说,mod_authn_google
的密码是动态的,更科学被猜解;绝对 mod_ssl 的双向 TLS
认证来讲,mod_authn_google 免去了额外请第三方 CA
具名的基金和复杂的布局 CA 证书的进度的优伤。

本文介绍怎样通过 谷歌(Google) Authenticator
营造“物理屏障”,最大限度地阻断来自互连网的密码攻击。本文假定你早已理解
Google Authenticator
的干活规律。

<?php
function authenticate() {
Header(WWW-authenticate: basic realm=\”会员区\”);
Header(HTTP/1.0 401 Unauthorized);
echo \”你不能够不输入正确的顾客名和口令。n\”;
exit;
}
function CheckUser($uname, $pwd) {
尤为安插,以致桌面Computer的安全性。if ($uname == \”\” || $pwd == \”\”) return 0;
$query = \”SELECT username,password FROM users WHERE username=$uname
and password=password($pwd)\”;
$db_id = mysql_connect(localhost, oot, mypwd);
mysql_select_db(member,$db_id);
$result = mysql_query($query, $db_id);
$num=mysql_num_rows($result);
mysql_close($db_id);
if ($num>0) {
return 1; // 有效登录
} else {
return 0; // 无效登陆
}
}
?>

二、安装 mod_authn_google

由于那不是官方模块,所以无可争辩是要我们团结来下载安装的。这么些项目标主页在这里,可是它的下载列表中提供的模块是有
Bug 的,若是不想协调修复 Bug 的话,能够在此处下载到 Bug 修复后的
mod_authn_google。

静心,那些模块是在 64 位 Linux 下编写翻译的,要是您用的是 三拾二位的系统,请下载源码后自动编写翻译。

下载获得的是五个 .so 的库文件,能够动用 apxs2 脚本来安装,以
Ubuntu 等依据 APT 和
dpkg 的发行版为例,那么些剧本能够透过安装 apache2-prefork-dev 包获得。

  1. sudo apt-get install apache2-prefork-dev

接下去便可使用 apxs2 来安装模块:

  1. sudo apxs2 -i -a
    -n authn_google
    mod_authn_google.so

各参数含义:

-i
安装

-a
自动增加 LoadModule 语句,方便加载

-n authn_google
安装后模块的名字

mod_authn_google.so
刚才下载获得的模块的公文名

由于那是一个业已编写翻译好的模块了,所以除了用脚本来自动安装,也足以手工业安全装:

  1. sudo cp mod_authn_google.so /usr/lib/apache2/modules/
  2. echo “LoadModule
    authn_google_module
    /usr/lib/apache2/modules/mod_authn_google.so”| sudo tee /etc/apache2/mods-available/authn_google.load

一、前言

就算从小就被教育说操作系统必供给安装刚劲的密码,但实际,小时候用的好多是“远程桌面连接”私下认可被剥夺的盗版
Windows,且在家里上网时候总是在路由器前边,未有独自公网
IP,因而即使计算机安装为空密码,也从未怎么大主题素材。

新生,上了高档学园了,网络情状也装有改造:在宿舍上网的时候,Computer能分红到独门公网
IP,何况能直接从校外互连网连入(乃至足以跑 Apache 玩),而自己的
Xubuntu 又装了 OpenSSH
Server,所以那时密码就十分关键了,即使密码相当不足强盛的话,他人能够在网络的此外两个地点通过
SSH 完全调整作者的Computer。那太可怕了。

就算不是全部人的计算机都有公网 IP 能够方便地从外网连入,不过显明 VPS
是有公网 IP 的。笔者原先照旧未有察觉到 VPS
是何其地亏弱,可是某天猝然灵光一现:如果 VPS 的 root
密码被外泄、猜解或是暴力枚举,那么任哪个人都能够透过 ssh root@wzyboy.im
来完全调节作者的网址!

这么迟才想到这点真的比较奇异,不过幸好,近些日子还不曾“亡羊”,赶紧先“补牢”吧。个人又十二分喜欢
Google Authenticator
这种二步验证工具(从前写过文章)于是便结合 谷歌(Google) Authenticator
折腾出了那篇简陋但是还算安全的课程。本课程中情况默感觉:

  • 服务器为 512MiB RAM 的 LAMP VPS,在
    XeHost
    买的(半广告推荐:此家 VPS
    价廉物美,想买的点我),装着
    Ubuntu 11.04 amd64。
  • 客商机为装着 Xubuntu 11.10 amd64 的台式机计算机。
  • 验证器为装有
    Android 版 Google
    Authenticator
    的 HTC Desire Z (Vision)。

函数Authenticate()的机能是运用函数Header(WWW-authenticate: basic
realm=\”会员区\”),向浏览器发送三个注脚诉求音讯,使浏览器弹出一个顾客名/密码的对话框。当客户输入客商名和密码后,满含此PHP脚本的U昂科雷L将自动地被再一次调用,将客户名、密码、认证项目分别存放到PHP4的四个奇特变量:$PHP_AUTH_USER、$PHP_AUTH_PW、$PHP_AUTH_TYPE,在PHP程序中可依靠这些变量值来推断是否合法客商。Header()函数中,basic表示基本注解项目,realm的值表示认证区域名称。
函数Header(HTTP/1.0 401
Unauthorized)使浏览器客户在接二连三多次输入错误的客户名或密码时摄取到HTTP
401荒谬。
函数CheckUser()用来推断浏览器客户发送来的客商名、密码是不是与MySQL数据库的同一,若同样则赶回1,不然再次来到0。个中mysql_connect(localhost,
oot,
mypwd)的数据库客商名root和密码mypwd,应基于本身的MySQL设置而改换。
3.在急需限制访谈的各种PHP脚本程序开始扩张下列程序段:

三、配置 mod_authn_google

先是要建三个供它寄存认证信息的地点,比如/etc/apache2/ga_auth,接下去编辑
/etc/apache2/mods-available/authn_google.conf 文件,以下是楷模:

  1. <Directory/secret> # 要抬高验证的目录
  2. Options FollowSymLinks Indexes ExecCGI
  3. AllowOverride All # 允许每一种目录下通过 .htaccess
    覆盖这里的全局设置
  4. Order deny,allow
  5. Allow from all
  6. AuthType Basic
  7. AuthName “Secret” # 弹出窗口的提示音讯
  8. AuthBasicProvider “google_authenticator”
  9. Require valid-user
  10. GoogleAuthUserPath ga_auth #
    保存认证音信的目录
  11. GoogleAuthCookieLife 3600 # Cookies
    有效时间,这段时日内毫无再输密码,单位为秒
  12. GoogleAuthEntryWindow 2 #
    那时候间差异台时,允许有那般的正负基值误差。以 30s 为单位
  13. </Directory>

保存退出之后,再

  1. sudo a2enmod authn_google && sudo service apache2
    restart

就能够,如果未有报错的话,今后现行反革命 mod_authn_google
应该已经在劳作了,访问 /secret
的话会提醒输入顾客名密码,不过大家尚无加多客户,所以输啥都以错的。

二、用 谷歌(Google) Authenticator 坚实 SSH 登录安全性

复制代码 代码如下:

四、增多认证客户

证实客商是通过 谷歌(Google) Authenticator
提供的工具来扭转认证文件的,将扭转的验证文件复制到 GoogleAuthUserPath
所对应的目录就能够,比如/etc/apache2/ga_auth。

怎样运用 Google Authenticator
生成新客商的证实,在那篇小说中已经很了然了,这里再提一下:

  1. 行使包管理器安装 libpam-google-authenticator 那个包。以 Ubuntu
    Server 为例:

    1. sudo apt-get install
      libpam-google-authenticator
  2. 比如此前用过 谷歌 Authenticator,请先将 ~/.google_authenticator
    文件改名备份一下。
  3. 运行

    1. google-authenticator

    一声令下,把显示屏上的 QR 码扫描到持有 谷歌 Authenticator
    的手提式无线电话机中,并遵从提示回答多少个难题,生成新的 ~/.google_authenticator
    文件。

那般便生成了多个卓有成效的客商。将家目录中新转换的 .google_authenticator
文件复制到 /etc/apache2/ga_auth 目录下,文件名称为客商名,并使用

  1. sudo chmod 640 wzyboy && sudo chown root:www-data wzyboy

(把 wzyboy 改造为对应的客商名)退换文件权限,以担保 Apache
能读取它,便不暇思量了贰个顾客的丰裕。如需更加多客商访问,重复那个步骤就可以。最终记得把家目录里的
.google_authenticator 文件改回来。

设置相关 PMA 模块

率先要求在服务器上安装 libpam-google-authenticator 那些包。Ubuntu 11.10
及以上的官方源里自带了这些包,直接利用sudo apt-get install
libpam-google-authenticator 命令便可活动解决注重关系并设置。可是倘假使11.10
以上只怕是其他发行版,将在团结的编写翻译安装了。输入以下几条命令就行了:

  1. sudo apt-get install apt-get
    install libpam0g-dev libqrencode3 #那是它依靠的多少个包,各发行版里基本上带了。
  2. git clone
    #下载源代码
  3. cd google-authenticator/libpam/
  4. make install #编写翻译并设置

若是用着 Ubuntu 11.10 以下又不想和睦编写翻译的话(举个例子 VPS 是 11.04
的本人),其实也可能有偷懒的章程的,正是直接拿官方源里编写翻译好的 11.10
的二进制包来冒充。那回是无需 libpam0g-dev
这几个包了,直接用上面包车型大巴通令就好了:

  1. sudo apt-get install apt-get
    install libqrencode3 #其一包仍旧是要的
  2. wget
    #下载二进制包,要是是 32 位的操作系统的话请把 amd64 换到i386
  3. sudo dpkg -i libpam-google-authenticator_20110413.68230188bdc7-1ubuntu1_amd64.deb #安装之

require(auth.inc);
if (CheckUser($PHP_AUTH_USER,$PHP_AUTH_PW)==0) {
authenticate();
} else {
echo \”那是官方客户要拜谒的网页。\”;
//将此行改为向合法顾客输出的网页
}

五、调试与侦错

提出在浏览器的藏匿窗口中张开调理以清除 库克ies 的苦恼。假诺出错,可从
/var/log/apache2/error.log 中找答案。

补充:该模块在 Google Code
上的预编写翻译文件有 Bug,不读取 Cookies,导致提醒找不到
/etc/apache2/ga_auth/(null) 文件。那时四个比异常滑稽的 wordaround
就是把您的客商认证新闻文件重命名称为 (null),然后就足以相称这些 Bug
继续做事了。此时客商名输什么都足以,密码则是要有限帮忙准确的。那倒也别有一番韵味……
via @jimmy_xu_wrk。

via :

金沙注册送58 3

配置 Google Authenticator

Google Authenticator 的劳务器端已经设置好了,那么顾客端呢?Android
客商请点这里安装,iOS
客商请点这里安装,其余智能手提式有线电话机客户也会有对应的开源实施方案,请自行检索下载。非智能手提式有线电话机顾客暂时无解。:-(
可是,正在读书本文的您早晚已经用过 Google Authenticator 了吗?

Google Authenticator 其实是一套开源的施工方案,所以不仅仅在 Google的网址上能用,在其余地点也能用的。但是,在 谷歌的网址上,会一贯给你一个 Q宝马X3 码让你扫的,而本身配置的 谷歌(Google)Authenticator 则要团结生成了。

第一必要切换成对应的客商,要是 VPS
上独有一个顾客来讲,自然是能够总结这一步的,不过多用户的 VPS
须求先切换来对应的客商,再运营google-authenticator 命令,结果类似那样:

金沙注册送58 4

那么些 Q景逸SUV 码自然是给 谷歌(Google) Authenticator
应用程序来围观的,也能够访谈上边的足够链接,用 谷歌 Chart API 生成的
Q奇骏 码来围观。还足以照着 Q奥迪Q7 码下边包车型地铁文字密钥手工输入。当 GoogleAuthenticator
识别了这几个账号之后,验证器就布置好了。在文字密钥上边还提供了多少个救急码,为手提式有线电话机丢了等情状下所用的,能够稳伏贴当保管。

那会儿 谷歌 Authenticator
固然运营了,但是相关安装还并未有保留,程序会问你Do you want me to update
your “~/.google_authenticator” file (y/n)
(是或不是将配置写入家目录的配备文件),当然是回复 y 了。又会问

  1. Do you want to disallow
    multiple uses of the same authentication
  2. token?This restricts you to one login
    about every 30s, but it increases
  3. your chances to notice or even prevent man-in-the-middle attacks (y/n)

大体是说是还是不是禁绝贰个口令多用,自然也是答 y。下一个标题是

  1. Bydefault, tokens are good for30
    seconds andin order to compensate
    for
  2. possible time-skew between the client
    and the
    server, we allow
    an extra
  3. token before and after the current
    time.If you experience problems
    with poor
  4. time synchronization, you can increase the window
    from its
    default
  5. size of 1:30min
    to about 4min.Do
    you want to do so
    (y/n)

大体是问是不是展开时间容错以免卫顾客端与服务器时间相差太大导致认证失利。那些能够依赖真实景况来。笔者的
Android 设备时间很准(与互联网同步的),所以答 n,如若有的 Android
iPad不怎么连网的,能够答 y 以防遵守时间间不当导致认证败北。再多个标题是

  1. If the computer that you
    are logging into
    isn’t hardened against brute-force
  2. login attempts, you can enable rate-limiting for
    the authentication module.
  3. By default, this limits attackers to no more than
    3 login attempts every 30s.
  4. Do you want to enable rate-limiting (y/n)

慎选是还是不是展开尝试次数限制(制止暴力攻击),自然答 y。

标题答完了,家目录中多出三个 .google_authenticator 文件(暗中同意权限为
400),那时客商端与服务端已经配套起来了,未来绝不再运维google-authenticator
命令了,不然会另行生成一组密码。

把必要向合法客商体现的网页内容放到else子句中,替代上述程序段的一站式:
echo \”那是合法客户要拜会的网页。\”;
如此那般,当客户访谈该PHP脚本程序时,必要输入客户名和密码来认同客户的地位。
三. Windows的Apache顾客认证 1.施用文本文件贮存客户名和密码时,其艺术同前,但必要在乎的是象征路线的目录名之间、目录名与公事名以内一律用斜线“/”分开,而不是反斜线“”。
2.利用MySQL数据库存放客户名和密码时,首先按下列方式将PHP
4.0.3作为Apache的模块来运营,然后按上述“选拔数据仓库储存款和储蓄顾客名和密码的顾客认证”的法子成功。
1)下载Windows版的Apache 1.3.12、PHP 4.0.3、MySQL
3.2.32,将多个软件分别解压、安装到C:apache、C:PHP4、C:mysql目录。
2)C:PHP4SAPI目录有多少个常用Web服务器的PHP模块文件,将里面php4apache.dll拷贝到Apache的modules子目录(C:apachemodules)。
3)修改Apache的安插文件C:apacheconfhttpd.conf,增添以下几行:
LoadModule php4_module modules/ php4apache.dll
AddType application/x-httpd-php .php3
AddType application/x-httpd-php-source .phps
AddType application/x-httpd-php .php
先是使用PHP4以Apache的模块格局运营,那样技巧开展客商认证,后三行定义PHP脚本程序的扩张名。
4)在autoexec.bat文件的PATH命令中加进PHP4所在路径“C:PHP4”,重新开动Computer

配置 SSH 验证

这儿虽说 Google Authenticator
已经安顿好了,不过并未别的程序会去调用它。所以供给安装 SSH
登陆的时候去通过它表达。

打开 /etc/pam.d/sshd 文件,添加

  1. auth required
    pam_google_authenticator.so

这一行,保存。再打开 /etc/ssh/sshd_config 文件,找到

  1. ChallengeResponseAuthenticationno

把它改成

  1. ChallengeResponseAuthentication yes

并保存。最后,输入

  1. sudo service ssh restart

来重启 SSH 服务以利用新的陈设。

此刻再用 SSH 登入的话就能这么了:

  1. wzyboy@vermilion:~$ ssh root@natatio
  2. Password:[输入密码]
  3. Verification
    code:[输入验证码]
  4. Welcome to Ubuntu11.04(GNU/Linux2.6.38-8-generic x86_64)

于是乎就像此成功了。

当然,借使经常要登陆 SSH
的话,每一遍这样输入未免太麻烦了,万幸,那些额外的表明手续与原先的公家钥认证是足以并且使用的。所以在团结的桌面计算机上能够做一下集体钥认证:

  1. ssh-keygen #生成密钥对,一路回车就可以,已经生成过的永不生成了
  2. ssh-copy-id root@example.org #把公钥增添到 VPS

这么到达的功力是,今后在大团结的微型Computer上 SSH 到 VPS
的时候,是不要求输入任何密码的,能够一贯连接,而在面生的微管理器上急需管住
VPS 时,须求输入账户密码及 谷歌 Authenticator
的验证码。而想要从互连网上攻击您的 VPS 的坏东西,即使猜出、枚举出 VPS
的密码由于并没有手提式有线电话机上 Google Authenticator 的验证码,就不可能了……

三、用 Google Authenticator 增强 WordPress 安全性

SSH 登陆已经有 Google Authenticator
爱慕了,可是服务器运营的次序还从未,举个例子 WordPress。相对于 MySQL
漏洞攻击等高难度操作,小编觉着 WordPress
被攻破的大概性更加大:毕竟也独有一个短短的密码体贴着。辛亏由于 WordPress
是“大路货”,用的人不少,插件自然也不菲,有人便开垦出了 WordPress 用的
谷歌 Authenticator 的插件。启用方法如下:

  1. 在 WordPress 后台检索并安装 谷歌(Google) Authenticator 那些插件,启用之。
  2. 在 WordPress 后台个人 Profile 页面 谷歌 Authenticator Settings
    选项下,选中 Active,填好
    Description(只是在手提式有线电电话机上出示的名字而已),再点击 Show/Hide QR
    Code。
  3. 在 Google Authenticator 应用程序中围观那么些 Q途胜码以增多账号,大概手工输入 Secret 也行。

陈设成功之后,再登入 WordPress 后台的时候就能是这么的:

金沙注册送58 5

不输入正确的 Google Authenticator code
是不可能登陆的。当然在友好的微管理器上是能够勾选 Remember Me 以缩减麻烦的。

四、用 谷歌(Google) Authenticator 巩固桌面计算机的安全性?

正文第三节讲了什么把 Authenticator 用在 VPS 上以加强 SSH
登录时的安全性。自然,Authenticator 也是能用在具备 GNU/Linux
的桌面计算机上的。安装模块的点子和在 VPS
上是一致的,手提式有线电话机上配备也是同等,可是调用的时候是见仁见智的。

跻身 /etc/pam.d/ 目录,能够见见有的文件:

  1. wzyboy@vermilion:/etc/pam.d$
    ls
  2. atd common-password lightdm-autologin ppp
  3. chfn common-session login samba
  4. chpasswd common-session-noninteractive newusers
    sshd
  5. chsh cron other su
  6. common-account cups passwd sudo
  7. common-auth lightdm polkit-1
    xscreensaver

这个文件从文件名就会看出它们是干嘛的:调节一些关键操作的表明。在 VPS
中,大家在 sshd 中增添了 auth required pam_google_authenticator.so
这一行,于是在 SSH 登入的时候就能够调用 Authenticator
来注脚。在别的文件中参与 auth required pam_google_authenticator.so
这一行的话,就能够在相应的操作中调用 Authenticator
来声明了。下边是多少个首要的:

  • lightdm。那一个会使通过图形分界面登陆的时候供给输入验证码,效果如下:
    金沙注册送58 6 输入密码然后还要再输入验证码:
    金沙注册送58 7 亟待静心的是,lightdm
    只是 Ubuntu 11.10 和 Xubuntu 11.10
    及以上版本暗许的展示处理器,别的的发行版大概是 gdm、kdm
    等,请自行修改。
  • xscreensaver。那一个会使屏保解锁的时候也要输入密码和验证码,效果如下:
    金沙注册送58 8金沙注册送58 9
  • login。这么些会使在字符分界面下(如 tty)登陆的时候也会须求输入验证码。
  • passwd。这么些会使设置客商密码的时候必要输入验证码。
  • sudo。这么些会使普通顾客试图提权施行系统操作的时候须要输入验证码。很符合给多人分享计算机用。

本来,假令你的管理器像本身同样装了 OpenSSH Server 的话,也得以在 sshd 中参预auth required pam_google_authenticator.so
这一行,使坏蛋不能够从公网络登陆你的微管理器。

五、尾声

相对前几篇博客,这篇博客写得有一点匆忙。並且,教程的始末并不怎么复杂,Linux
的高档用户分明都会的,所以本文的目的读者只好是刚接触 Linux VPS
的客户了,希望能帮到他们。

VIA:

金沙注册送58 10

相关文章

网站地图xml地图