Linux如何启用SSH双因子认证_LinuxGoogleAuthenticator部署

启用SSH双因子认证需安装Google Authenticator PAM模块，配置TOTP验证，编辑/etc/pam.d/sshd添加auth required pam_google_authenticator.so，修改/etc/ssh/sshd_config启用ChallengeResponseAuthentication并设置AuthenticationMethods为keyboard-interactive:pam或publickey,keyboard-interactive:pam，重启sshd服务后用户登录需输入动态验证码，提升安全性。

在Linux系统中启用SSH双因子认证（2FA）能显著提升服务器的安全性。通过结合密码/密钥登录与基于时间的一次性验证码（TOTP），即使凭证泄露，攻击者也难以未经授权访问系统。Google Authenticator是实现这一功能的常用工具，支持TOTP协议，可轻松集成到OpenSSH中。

安装Google Authenticator PAM模块

大多数Linux发行版都提供google-authenticator包，可通过系统包管理器安装。

在Ubuntu/Debian系统上执行：

在CentOS/RHEL或Fedora系统上：

为用户配置Google Authenticator

切换到目标用户（通常是需要远程登录的账户）并运行初始化命令：

执行后会提示一系列问题，建议按以下方式选择：

• 是否生成新的密钥？ → yes
• 是否更新认证文件？ → yes
• 是否禁止多次使用同一令牌？ → yes（增强安全性）
• 是否启用速率限制？ → yes（防止暴力破解）

完成后会显示一个二维码和一组备用恢复码。使用Google Authenticator App（iOS/Android）扫描二维码添加账户，确保设备时间已同步。

配置PAM以启用双因子认证

编辑SSH服务的PAM配置文件：

在文件开头添加以下行：

这将要求用户在SSH登录时输入动态验证码。注意不要删除原有的auth行，否则可能影响密码验证流程。

Revid AI

AI短视频生成平台

62

查看详情

修改SSH配置以启用Challenge-Response认证

编辑sshd_config文件：

确认以下配置项已正确设置：

• ChallengeResponseAuthentication yes
• PasswordAuthentication yes（若使用密码登录）
• PubkeyAuthentication yes（若使用密钥登录）
• AuthenticationMethods keyboard-interactive:pam（关键：启用双因子）

如需更严格控制，可设置为：
AuthenticationMethods publickey,keyboard-interactive:pam
表示必须先通过SSH密钥认证，再输入TOTP验证码。

完成修改后重启SSH服务：

测试双因子登录

打开新终端窗口，尝试SSH登录：

如果配置正确，登录过程将提示输入验证码（由Google Authenticator生成的6位数字），而不是直接进入系统。输入正确的动态码后才能成功登录。

若遇到问题，可查看日志定位错误：

（在CentOS/RHEL中为 /var/log/secure）

基本上就这些。只要步骤清晰，Google Authenticator部署并不复杂，但容易忽略PAM和sshd_config的协同配置。启用后，你的SSH服务就具备了双因子防护能力，极大降低被未授权访问的风险。

以上就是Linux如何启用SSH双因子认证_LinuxGoogleAuthenticator部署的详细内容，更多请关注php中文网其它相关文章！