为ssh服务器添加2fa认证,一个python脚本全搞定

ssh,2fa,python · 浏览次数 : 0

小编点评

本文介绍了一种基于Python实现的SSH 2FA认证脚本,旨在简化SSH登录过程并提高安全性。通过使用Google Authenticator的TOTP算法,该脚本可以在不依赖第三方库的情况下实现二次验证。文章首先描述了SSH 2FA认证的重要性,然后详细介绍了如何使用Python编写此脚本,并在服务器上部署。最后,文章给出了如何修改/etc/passwd文件以便在登录时自动使用新实现的2FA认证。 1. SSH 2FA认证的重要性 服务器上的SSH服务存在被非法访问的风险,因此实施有效的身份验证机制至关重要。其中,二次验证(2FA)是一种常用的增强安全性的方法。本文将介绍一种基于Python的SSH 2FA认证脚本,以简化部署过程并提供额外的安全层。 2. 实现SSH 2FA认证的Python脚本 本文实现的SSH 2FA认证脚本主要包括以下几个部分: - 生成基于时间的一次性密码(TOTP) - 读取用户输入的TOTP码 - 验证输入的TOTP码是否正确 以下是脚本的主要代码: ```python import os import sys import getpass import subprocess import hmac import time import base64 import hashlib # 生成TOTP密钥 TOTP_SECRET = 'KHGSRAEPVAFPPAGX' def gen_totp(secret, input_time, digits=6): # 补齐密钥长度 if len(secret) % 8 != 0: secret += '=' * (8 - len(secret) % 8) byte_secret = base64.b32decode(secret, casefold=True) result = bytearray() while input_time != 0: result.append(input_time & 0xFF) input_time >>= 8 byte_input = bytes(reversed(result)).rjust(8, b'\0') hasher = hmac.new(byte_secret, byte_input, hashlib.sha1) hmac_hash = bytearray(hasher.digest()) offset = hmac_hash[-1] & 0xF code = ((hmac_hash[offset] & 0x7F) << 24 | (hmac_hash[offset + 1] & 0xFF) << 16 | (hmac_hash[offset + 2] & 0xFF) << 8 | (hmac_hash[offset + 3] & 0xFF)) str_code = str(10_000_000_000 + (code % 10**digits))[-digits:] return str_code def read_totp_code(): def timeout(signum, frame): raise TimeoutError signal.signal(signal.SIGALRM, timeout) signal.alarm(60) flag = 0 # no try: if getpass.getpass('Code: ') == gen_totp(TOTP_SECRET): flag = 1 # yes except BaseException: flag = 2 # timeout, Ctrl+C signal.alarm(0) return flag def verify(): if len(sshClient := os.getenv('SSH_CLIENT', '').split()) != 3: return True user = os.getenv('USER', '') tty = os.getenv('SSH_TTY', '').lstrip('/dev/') with subprocess.Popen('who', stdout=subprocess.PIPE) as who: while line := who.stdout.readline(): line = line.decode() if user in line and sshClient[0] in line and (tty == '' or tty not in line): return False return True def main(): if verify(): flag = 0 for _ in range(3): if (flag := read_totp_code()) > 0: break print('Login incorrect') if flag != 1: return sys.argv[0] = 'bash' subprocess.call(sys.argv, stdin=sys.stdin, stdout=sys.stdout, stderr=sys.stderr) if __name__ == '__main__': main() ``` 3. 修改/etc/passwd文件 为了让用户在登录时自动使用新实现的2FA认证,需要修改服务器上的/etc/passwd文件。请按照以下步骤操作: - 打开文件:`sudo nano /etc/passwd` - 在需要自动使用2FA认证的用户(例如root)的行尾添加以下内容: ``` login:bash ``` - 保存并关闭文件 现在,当用户使用该用户登录时,系统将自动运行/bin/login脚本,从而实现2FA认证。

正文

服务器ssh如果被别人登陆就是一场灾难,所以我研究了ssh认证,我发现Google Authenticator PAM可以实现ssh2fa认证,但是安装和配置比较麻烦。因此我用python实现了ssh2fa认证。考虑到很多Linux服务器默认安装python,所以我用py脚本,并只使用标准库,不需要安装第三方py库,方便部署。

  1. 首先保存如下脚本到文件:/bin/login,设置执行权限:chmod +x /bin/login,记得修改TOTP_SECRET密钥
#!/bin/env python
import os
import sys
import signal
import getpass
import subprocess
import hmac
import time
import base64
import hashlib

# 随机生成长度为16的全大写字符串作为2fa的密钥
TOTP_SECRET = 'KHGSRAEPVAFPPAGX'

try:
    def gen_totp(secret: str, input=int(time.time()/30), digits=6):
        if (missing_padding := len(secret) % 8) != 0:
            secret += "=" * (8 - missing_padding)
        byte_secret = base64.b32decode(secret, casefold=True)

        result = bytearray()
        while input != 0:
            result.append(input & 0xFF)
            input >>= 8
        byte_input = bytes(bytearray(reversed(result)).rjust(8, b"\0"))

        hasher = hmac.new(byte_secret, byte_input, hashlib.sha1)
        hmac_hash = bytearray(hasher.digest())
        offset = hmac_hash[-1] & 0xF
        code = ((hmac_hash[offset] & 0x7F) << 24
                | (hmac_hash[offset + 1] & 0xFF) << 16
                | (hmac_hash[offset + 2] & 0xFF) << 8
                | (hmac_hash[offset + 3] & 0xFF))
        str_code = str(10_000_000_000 + (code % 10**digits))
        return str_code[-digits:]

    def read_totp_code():
        def timeout(signum, frame): raise TimeoutError
        signal.signal(signal.SIGALRM, timeout)
        signal.alarm(60)

        flag = 0  # no
        try:
            if getpass.getpass('code: ') == gen_totp(TOTP_SECRET):
                flag = 1  # yes
        except BaseException:
            flag = 2  # timeout,ctrl+c

        signal.alarm(0)
        return flag

    def verify():
        if len(sshClient := os.getenv('SSH_CLIENT', '').split()) != 3:
            return True
        user = os.getenv('USER', '')
        tty = os.getenv('SSH_TTY', '').lstrip('/dev/')

        with subprocess.Popen('who', stdout=subprocess.PIPE) as who:
            while line := who.stdout.readline():
                line = line.decode()
                if user in line and sshClient[0] in line and (tty == '' or tty not in line):
                    return False
        return True

    def main():
        if verify():
            flag = 0
            for _ in range(3):
                if (flag := read_totp_code()) > 0:
                    break
                print('Login incorrect')
            if flag != 1:
                return
        sys.argv[0] = 'bash'
        subprocess.call(sys.argv, stdin=sys.stdin, stdout=sys.stdout, stderr=sys.stderr)

    main()
except BaseException as e:
    base = os.path.dirname(os.path.abspath(__file__))
    with open(os.path.join(base, 'login.log'), 'w') as fw:
        fw.write(str(e))
  1. 修改/etc/passwd文件,将你希望登陆的用户的默认shell改为/bin/login
# 如下所示修改了root的默认shell
vim /etc/passwd
root:x:0:0:root:/root:/bin/login
  1. 然后重新登陆ssh,此时需要输入2fa验证码才能成功。上面代码做了3次错误输入错误自动退出ssh登陆状态,超过60秒未输入任何字符也自动退出ssh登陆状态。注意到verify()方法,是为了ssh登陆后相同公网ip客户端登陆ssh时不需要重复输入2fa验证码,我这样做是为了方便vscode远程或scp等其他不方便输入验证码的客户端免密登陆。当然服务器判断没有任何该公网ip客户端时需要输入验证码。需要注意这行代码:sys.argv[0] = 'bash',表示成功输入验证码后打开的shell,可自行修改。

与为ssh服务器添加2fa认证,一个python脚本全搞定相似的内容:

为ssh服务器添加2fa认证,一个python脚本全搞定

服务器ssh如果被别人登陆就是一场灾难,所以我研究了ssh认证,我发现Google Authenticator PAM可以实现ssh的2fa认证,但是安装和配置比较麻烦。因此我用python实现了ssh的2fa认证。考虑到很多Linux服务器默认安装python,所以我用py脚本,并只使用标准库,不

[转帖]shell脚本使用expect自动化交互登录远程主机进行批量关机

前文 1.目标主机登录用户都为root,且密码一致 2.目标主机开放启动了SSH服务且22号端口可访问(防火墙未进行拦截) 软件介绍 expect Expect是一个用来实现自动和交互式任务进行通信的免费编程工具语言。由Don Libes在1990年开始编写。 结合Shell Script实现自动和

Git使用记录 - 持续更新

本地生成 sshkey 打开git命令工具cd ~/.ssh ssh-keygen -t rsa -C "实际的eamil地址" ··· // 一路回车,出现以下则说明成功 Your identification has been saved in C:\Users\Administrator/.s

详解Docker容器运行GUI程序的方法

摘要:本文为大家详解如何直接进入Docker容器运行或通过SSH连接Docker容器运行GUI程序的方法。 本文分享自华为云社区《Docker容器运行GUI程序的方法(直接进入Docker容器运行或通过SSH连接Docker容器运行)》,作者:MAVER1CK 。 以下两种方法都需要先在主机执行 x

GitHub SSH 快速配置

每次更换系统或者电脑时,都需要重新配置一番 Github SSH 的验证,记性不太好,写了一个快速部署的辅助脚本,直接安装脚本提示使用即可,经测试,Linux 和 Windows 下均能使用。 脚本功能 设置 Git 用户名和邮箱 脚本会提示用户输入 Git 用户名和邮箱,并将其设置为全局配置。 生

[转帖]自动化配置SSH免密登录和取消SSH免密配置脚本

1. 前文 搭建了一套有多台主机的局域网环境,不完全考虑安全性的情况下,为方便管理局域网内主机,配置SSH免密登录,因主机较多,前阵子针对配置ssh免密和取消ssh免密功能单独写了脚本来自动化批量部署,现把两个功能封装在一起做成交互式程序 2.实现代码 #!/bin/bash #Author:cos

Gitlab搭建

目录Gitlab1. 使用docker部署gitlab2. 登录gitlab2.1 修改语言为中文2.3 修改密码3. 用户管理3.1 创建用户4. 配置ssh拉取代码4.1 添加ssh密钥4.2 测试拉取 Gitlab 1. 使用docker部署gitlab [root@master ~]# mk

Linux:进程模型和进程管理

在Linux系统中,执行一个程序或命令就可以触发一个进程,系统会给予这个进程一个ID,称为PID,同时根据触发这个进程的用户与相关属性关系,基于这个PID一组有效的权限设置。举个常见的例子,我们要操作系统的时候通常是利用ssh连接程序或直接在主机上登录,然后获取shell。默认的shell是bash,对应的路径为/bin/bash,那么同时间的每个人登录都是执行/bin/bash,不过每个人获取的

为视觉语言多模态模型进行偏好优化

为视觉语言多模态模型进行偏好优化 训练模型使得它能够理解并预测人类偏好是一项比较复杂的任务。诸如 SFT (Supervised finetuning) 的传统的方法一般都需要耗费较大成本,因为这些算法需要对数据打上特定的标签。而偏好优化 (Preference Optimization) 作为一种

为提高 SDLC 安全,GitHub 发布新功能|GitHub Universe 2022

GitHub Universe 2022于上周举办。在此次大会上,Github 公布了开源软件状态的最新报告,报告中的统计数据显示,90% 的公司都在使用开源,现在 GitHub 上有9400万用户,2022 年有高达4.13亿次开源贡献。 如今世界正运行在开源之上,软件供应链已然成为当今最大的攻击