用Google Authenticator加強SSH登錄安全性

環境：
CentOS 6.3 x86_64

基礎組件安裝：

yum -y install wget gcc make pam-devel libpng-devel

一、安裝qrencode
在Linux上，有一個名為 QrenCode 的命令行工具可以很容易幫我們生成二維碼，google authenticator命令行生成二維碼就是調用它。

wget http://fukuchi.org/works/qrencode/qrencode-3.3.1.tar.gz
tar zxf qrencode-3.3.1.tar.gz
cd qrencode-3.3.1
./configure --prefix=/usr && make && make install

二、安裝google authenticator PAM插件

wget http://google-authenticator.googlecode.com/files/libpam-google-authenticator-1.0-source.tar.bz2
tar jxf libpam-google-authenticator-1.0-source.tar.bz2
cd libpam-google-authenticator-1.0
make && make install

三、配置google authenticator

Google Authenticator 其實是一套開源的解決方案，所以不僅在 Google 的網站上能用，在其他地方也能用的。然而，在 Google 的網站上，會直接給你一個 QR 碼讓你掃的，而自己配置的 Google Authenticator 則要自己生成了。
首先需要切換到對應的用戶，如果 VPS 上只有一個用戶的話，自然是可以省略這一步的，但是多用戶的 VPS 需要先切換到對應的用戶，再運行 google-authenticator 命令，程序會問你Do you want authentication tokens to be time-based (y/n),大意是基于時間生成驗證碼（及TOTP）,這里選擇y。結果類似這樣：

這個 QR 碼自然是給 Google Authenticator 應用程序來掃描的，也可以訪問上面的那個鏈接，用 Google Chart API 生成的 QR 碼來掃描。還可以照著 QR 碼下面的文字密鑰手工輸入。當 Google Authenticator 識別了這個賬號之后，驗證器就配置好了。在文字密鑰下面還提供了幾個應急碼，為手機丟了等情況下所用的，可以妥善保管。
這時 Google Authenticator 雖然運行了，但是相關設置還沒有保存，程序會問你 Do you want me to update your “/root/.google_authenticator” file (y/n) （是否將配置寫入家目錄的配置文件），當然是回答 y 了。又會問

Do you want to disallow multiple uses of the same authenticationtoken? This restricts you to one login about every 30s, but it increasesyour chances to notice or even prevent man-in-the-middle attacks (y/n)

大意是說是否禁止一個口令多用，自然也是答 y。下一個問題是

By default, tokens are good for 30 seconds and in order to compensate forpossible time-skew between the client and the server, we allow an extratoken before and after the current time. If you experience problems with poortime synchronization, you can increase the window from its defaultsize of 1:30min to about 4min. Do you want to do so (y/n)

大意是問是否打開時間容錯以防止客戶端與服務器時間相差太大導致認證失敗。這個可以根據實際情況來。我的ipad時間很準（與網絡同步的），所以答 n，如果一些平板電腦不怎么連網的，可以答 y 以防止時間錯誤導致認證失敗。再一個問題是

If the computer that you are logging into isn't hardened against brute-forcelogin attempts, you can enable rate-limiting for the authentication module.By default, this limits attackers to no more than 3 login attempts every 30s.Do you want to enable rate-limiting (y/n)

選擇是否打開嘗試次數限制（防止暴力***），自然答 y。
問題答完了，家目錄中多出一個 .google_authenticator 文件（默認權限為 400），這時客戶端與服務端已經配套起來了，以后不用再運行 google-authenticator 命令了，否則會重新生成一組密碼。

四、配置SSH驗證
此時雖然 Google Authenticator 已經配置好了，但是并沒有任何程序會去調用它。所以需要設置 SSH 登錄的時候去通過它驗證。
打開 /etc/pam.d/sshd 文件，添加
auth required pam_google_authenticator.so

這一行，保存。再打開 /etc/ssh/sshd_config 文件，找到
ChallengeResponseAuthentication no

把它改成
ChallengeResponseAuthentication yes

并保存。最后，輸入
service ssh restart

來重啟 SSH 服務以應用新的配置。
這時候再用 SSH 登錄的話就會這樣了：

這樣就成功了。