全球主机交流论坛

标题: 为 Linux 服务器 SSH 添加 TOTP 动态验证码以及 Java 实现算法 [打印本页]

---

作者: 寒冰hanbings    时间: 2021-12-21 19:40
标题: 为 Linux 服务器 SSH 添加 TOTP 动态验证码以及 Java 实现算法




为 Linux 服务器 SSH 添加 TOTP 动态验证码以及 Java 实现算法

0x00 TOTP 动态验证码？

TOTP 基于时间的一次性密码算法（Time-Based One-Time Password）是一种根据预共享的密钥与当前时间计算一次性密码的算法，利用不同设备时间相同的特性，将时间作为特定算法的一部分从而达到无需网络进行安全验证的目的。 该算法有两个输入，一个输出，一个输入是随机生成的密钥，密钥需要被验证方和验证器同时持有，另一个输入即系统时间，通常是 UNIX 时，输出则是两方相同的验证码。一般的验证码有效期为 30 秒，每 30

秒生成一个新的验证码。当前有很多领域和行业在使用 TOTP 作为它们的安全验证，比如银行使用的实体验证器，网易的网易将军令等。

这套算法在 RFC6238 中有详细的说明，在后面的实现算法部分详细说明。

0x01 Linux 服务器安装 Google Authenticator

服务器采用腾讯云轻量服务器 Debian Linux 系统，腾讯云轻量服务器是腾讯云基于 CVM 服务器推出以应用为中心的轻量级服务器，优点在于快速部署应用、价格便宜等。有需要在云环境练习 Linux 技能的推荐购买 【腾讯云】云产品限时秒杀，爆款2核4G云服务器首年74元 【腾讯云】境外1核2G服务器低至2折，半价续费券限量免费领取！

• SSH 远程登录后 先更新当前源列表
  
  
  1. apt update

  复制代码

• 然后执行安装指令
  
  当然，如果已经在 腾讯云里买了一堆轻量机子 了，不想做这些繁琐的步骤，可以用轻量的自动化助手一键完成安装后再进入机子进行 Authenticator 密钥设置
  
  
  
  
  1. apt install libpam-google-authenticator

  复制代码
  
  

• 输入 google-authenticator 并按照说明进行配置
  
  
  1. google-authenticator

  复制代码
  
  
  
  图中黄线框部分为密钥，红色线框部分为备用验证码，备用验证码是在丢失验证器的情况下输入的验证码，验证码输入后将失效。请妥善保管这两个内容，它们是生成验证码的关键，也请不要泄露这个二维码
  
  粗略翻译下选项
  
  
  1. Do you want authentication tokens to be time-based
     
  2. 
     
  3. 需要启用基于时间的认证吗？
     
  4. 
     
  5. Do you want me to update your "/root/.google_authenticator" file?
     
  6. 
     
  7. 需要更新配置文件吗？
     
  8. 
     
  9. Do you want to disallow multiple uses of the same authentication
     
  10. token? This restricts you to one login about every 30s, but it increases
      
  11. your chances to notice or even prevent man-in-the-middle attacks ?
      
  12. 
      
  13. 禁止多次使用同一个身份验证令牌吗？这将限制大约每 30 秒登录一次，它将减少中间人攻击的机会
      
  14. 
      
  15. By default, a new token is generated every 30 seconds by the mobile app.
      
  16. In order to compensate for possible time-skew between the client and the server,
      
  17. we allow an extra token before and after the current time. This allows for a
      
  18. time skew of up to 30 seconds between authentication server and client. If you
      
  19. experience problems with poor time synchronization, you can increase the window
      
  20. from its default size of 3 permitted codes (one previous code, the current
      
  21. code, the next code) to 17 permitted codes (the 8 previous codes, the current
      
  22. code, and the 8 next codes). This will permit for a time skew of up to 4 minutes
      
  23. between client and server.
      
  24. Do you want to do so?
      
  25. 
      
  26. 默认情况下，移动应用程序每 30 秒生成一个新令牌。
      
  27. 为了补偿客户端和服务器之间可能的时间偏差，
      
  28. 我们允许在当前时间之前和之后一个额外的令牌。这允许一个
      
  29. 身份验证服务器和客户端之间的时间偏差最大为 30 秒。如果你
      
  30. 遇到时间同步不好的问题，可以增加窗口
      
  31. 从其默认大小的 3 个允许代码（一个以前的代码，当前的
      
  32. 代码，下一个代码）到 17 个允许的代码（前 8 个代码，当前代码
      
  33. 代码，以及接下来的 8 个代码）。这将允许最多 4 分钟的时间偏差
      
  34. 客户端和服务器之间。
      
  35. 要这样做吗？
      
  36. 
      
  37. If the computer that you are logging into isn't hardened against brute-force
      
  38. login attempts, you can enable rate-limiting for the authentication module.
      
  39. By default, this limits attackers to no more than 3 login attempts every 30s.
      
  40. Do you want to enable rate-limiting?
      
  41. 
      
  42. 如果您登录的计算机没有针对蛮力进行强化
      
  43. 登录尝试，您可以为身份验证模块启用速率限制。
      
  44. 默认情况下，这会将攻击者限制为每 30 秒不超过 3 次登录尝试。
      
  45. 您要启用速率限制吗？

  复制代码

• 这个时候二步认证是还没有生效的，还需要修改 pam 以及 ssh 配置，请仔细小心地修改配置，任何一处错误都可能导致 ssh 无法连接
  
  鉴于操作危险性，建议提前对机子进行备份，比如 腾讯云轻量 的镜像备份，一个地区五个免费配额，不用白不用是吧 （手动狗头）
  
  
  
  文件 /etc/pam.d/sshd
  
  
  1. 添加一行 auth required pam_google_authenticator.so

  复制代码
  
  
  
  文件 /etc/ssh/sshd_config
  
  
  1. ChallengeResponseAuthentication no 更改为 ChallengeResponseAuthentication yes

  复制代码
  
  

• 保存好二维码、密钥以及备用验证码后断开连接重新登录服务器，这时输入密码后将会出现二步验证
  
  

0x02 设置验证码生成设备

目前有很多家验证器客户端 比较流行的有 Google Authenticator 、 Microsoft Authenticator、Authy 等。

Microsoft Authenticator、Authy 相比 Google Authenticator 多了一套云同步系统，能防止意外清除软件数据之后丢失密钥导致的各种问题出现。但请注意，选择了带有云同步功能的应用中使用的同步账号必须设置一个高强度密码，避免同步账号被盗取泄露验证码。

因为各家 Authenticator 都不允许界面截图，所以它欠咱几张图片

这里选用 Google Authenticator 下载安装后进入软件，选择扫描条形码，然后扫描上面保存的图片即可，或选择手动输入，账户为备注名字，可随意，密钥则为保存的密钥。

0x03 算法原理

现有实现了 TOTP 的软件中的算法 本质上就是 HMAC-SHA-1 算法，也就是带有盐值的 SHA-1

• 以 secret 密钥为盐值取当前时间的摘要，即 HMAC-SHA-1(K,C)
  
  K 为密钥，C 为当前 UNIX 时间 / 30，之所以除以 30 就是为了取整获得一个 30 内相同的值
  
  这样就得到了一个原始的哈希值，当然得到这个哈希值还不行，因为哈希值是 20 字节长的，对于 30 秒的验证码来说太长了，所以 HEX = HMAC-SHA-1(K,C)  等下还要用
• 取 HEX 的第 20 字节，也就是 HEX[19] 的低四位（后四位）作为偏移量 OFFEST
• 在 HEX 中，从偏移量 OFFEST 开始取四个字节作为验证码中间值 WIP
• 将 WIP mod 10^6 得到 6 位数字，不够 6 位高位补 0 即验证码

举个例子



0x04 使用 Java 实现算法

呜呜呜是不是我太菜了，代码贴上来字数就超了 要不要不，看我发在其它地方的版本吧 qwq 知乎

0x05 最后

文章中可能还有错误的地方，欢迎各位提出。

文中提及的代码均在我的开源 Java 中间件项目 Cynops 中 ，欢迎 Star ，也可以 Follow 我的 Github Hanbings 还请前辈们多多指教。

---

作者: zzzzzsa    时间: 2021-12-21 19:41
顶 项目很有意思

---

作者: ukx    时间: 2021-12-21 19:58
Make

---

作者: 咸鱼咸鱼    时间: 2021-12-21 20:02
一眼腾讯云软文

---

作者: htazq    时间: 2021-12-21 20:02
Mark一下，技术贴帮顶

---

作者: darius    时间: 2021-12-21 20:05
技术贴必顶

---

作者: TvT    时间: 2021-12-21 20:05
感谢楼主分享

---

作者: 寒冰hanbings    时间: 2021-12-21 20:05

咸鱼咸鱼 发表于 2021-12-21 20:02
一眼腾讯云软文

阿巴阿巴阿巴 也不是很软吧 要不是代码发不上来

---

作者: moehentai2333    时间: 2021-12-21 20:10
你出寒冰?鹅鹅出火拳!

---

作者: Marlene    时间: 2021-12-21 20:40
很有意思 但对sshd不是很熟悉 生产环境怕一不小心就改坏了
如果有稳定的shell一键脚本就更好了

---

作者: 二氧化碳    时间: 2021-12-21 20:44
提示: 作者被禁止或删除 内容自动屏蔽

---

作者: Eric.c    时间: 2021-12-21 20:51
sftp可用？

---

作者: konololi    时间: 2021-12-21 20:52
增加密码泄漏风险

---

作者: 875    时间: 2021-12-21 20:57
想问下 这个动态跟密钥相比哪个更好？

---

作者: rem    时间: 2021-12-21 21:16
花里胡哨

---

作者: HOH    时间: 2021-12-21 21:20
自找麻烦，还不如自己写一个挑战码登录简单

---

作者: Meocat    时间: 2021-12-21 21:32
这下可安全了

---

作者: 在線    时间: 2021-12-21 21:33
现在新注册的都这么厉害吗 比90%MJJ强

---

作者: 腿毛飘飘    时间: 2021-12-21 21:38
脱裤子放屁，是证书登录不香了还是证书登录不香了？

---

作者: 寒冰hanbings    时间: 2021-12-21 21:50

875 发表于 2021-12-21 20:57
想问下 这个动态跟密钥相比哪个更好？

密钥安全 如果没有密码要求上密钥 密钥也可以再加这个动态码 不过相比密钥的安全性没什么必要就是了

---

作者: 寒冰hanbings    时间: 2021-12-21 21:52

在線 发表于 2021-12-21 21:33
现在新注册的都这么厉害吗 比90%MJJ强

呜呜呜 这坛子很过分 昨天我连带图的帖子都发不出来

---

作者: 寒冰hanbings    时间: 2021-12-21 21:56

腿毛飘飘 发表于 2021-12-21 21:38
脱裤子放屁，是证书登录不香了还是证书登录不香了？

哈哈哈 密钥登录更安全 上了密钥登录也不是很必要加动态验证码了 不过给密码登录多一个保护嘛 需求还是有的

---

作者: 875    时间: 2021-12-21 22:37

寒冰hanbings 发表于 2021-12-21 21:50
密钥安全 如果没有密码要求上密钥 密钥也可以再加这个动态码 不过相比密钥的安全性没什么必要就是了 ...

哈哈 那还不错  刚研究两天瞎写整合了个密钥脚本，你这出了个动态验证，吓得我以为白忙活了

---

作者: 笑花落半世琉璃    时间: 2021-12-21 23:06
这v佬还是谁的文章我记得    里面的两步验证内容内容我现在还记得大概

记得以前操作直接吧自己也给锁外面

---

作者: 寒冰hanbings    时间: 2021-12-21 23:18

笑花落半世琉璃 发表于 2021-12-21 23:06
这v佬还是谁的文章我记得    里面的两步验证内容内容我现在还记得大概

记得以前操作直接吧自己也给 ...

嘿嘿 原创的哦 是我自己的

---

作者: fmbfmb    时间: 2021-12-22 04:02
mark

---

作者: Romeoiii    时间: 2021-12-22 07:41
这教程我早就在其它地方看过，是另一个作者发布的，当时看了，觉得还可以，多了一层保护，vps上有特别重要的东西，就可以用这个，防患于未然

---

作者: biubiu    时间: 2021-12-22 08:08
有没有给win上这个的方法，感觉也听有必要

---

作者: amao000765    时间: 2021-12-22 08:26
这么说吧 绝大多数机器被黑，并不是应为密码太弱被爆破，而是因为各种程序漏洞导致机器失陷。

---

作者: 寒冰hanbings    时间: 2021-12-24 20:22

amao000765 发表于 2021-12-22 08:26
这么说吧 绝大多数机器被黑，并不是应为密码太弱被爆破，而是因为各种程序漏洞导致机器失陷。 ...

是这么回事 但防患于未然嘛 多一个防护也没什么不好的

---

作者: 寒冰hanbings    时间: 2021-12-24 20:24

Marlene 发表于 2021-12-21 20:40
很有意思 但对sshd不是很熟悉 生产环境怕一不小心就改坏了
如果有稳定的shell一键脚本就更好了 ...

有想法弄一个 但是脚本其实风险也挺大的 好多不确定因素 ：D

---

作者: philsilver    时间: 2021-12-26 02:10
战略mark，回头有时间弄一下

---

作者: SmallL_U    时间: 2021-12-26 22:33
寒冰 是不是你（Doge 难道遇到熟人了

---

作者: 寒冰hanbings    时间: 2021-12-26 23:03

SmallL_U 发表于 2021-12-26 22:33
寒冰 是不是你（Doge 难道遇到熟人了

是我

---

作者: Function    时间: 2021-12-26 23:12
优秀，详细实用的技术贴

---

作者: caizi    时间: 2021-12-27 01:51


好几年前就上两步验证了，增加了一层，反正想暴力破解ssh是不可能了。

腾讯云的软广？两步验证是随便一台机器都能上的，不是非要这破腾讯云的才行的。

---

欢迎光临 全球主机交流论坛 (https://lilynana.eu.org/)

Powered by Discuz! X3.4