centos7使用谷歌验证器

本次演示的使用场景：当普通用户通过ssh登录系统之后需要sudo su -命令切换到root身份时需要使用谷歌验证器提供验证即可，而不需要输入用户密码

1、安装包

yum install -y epel-release
yum install -y google-authenticator qrencode

2、配置PAM模块

/etc/pam.d/sudo

# 在这个文件前面添加/etc/pam.d/sudo
auth       sufficient pam_google_authenticator.so

3、修改sshd配置

/etc/ssh/sshd_config

# 修改这两个配置，改成这样
ChallengeResponseAuthentication yes
UsePAM yes

修改完之后需要重启sshd

systemctl restart sshd

4、为用户配置Google Authenticator

在需要验证的用户下执行

google-authenticator

按照提示操作，会出现一个二维码，用谷歌的验证器来扫码

剩下的问题回答最好都选Y

5、多台共用同一个验证码

可以将已经配置完成的用户配置文件复制到其他机器

cat ~/.google_authenticator
# 类似这样的内容
TK7G3LPS4S6ZKAHXMS7KZFLDKX
" RATE_LIMIT 3 30 1743512345
" WINDOW_SIZE 18
" DISALLOW_REUSE 58117141 58117130
" TOTP_AUTH
84842590
35234847
17207460
99818192
99038196

需要修改文件的权限和所有者

chmod 600 ~/.google_authenticator
chown $USER:$USER ~/.google_authenticator