生信之旅

SSH作为我们用于连接linux的协议，其安全问题很重要，但是一般情况下我们都是仅用账号密码来进行登录，比较不安全，虽然可以用ssh秘钥进行登录，但是如果需要在其他电脑临时登录时就很麻烦了。所以我考虑采用动态密码（otp）来加强ssh登录安全性。

一、安装google-authenticator

这里我采用的是谷歌的google-authenticator来提供otp服务，在debian系列的linux安装如下：

apt-get install libpam-google-authenticator

二、运行google-authenticator

安装完成后，我们需要生成otp动态密码，就需要运行配置。

google-authenticator

运行上述命令后，在输出信息中根据需求选择Y或者N即可，最终会输出一个二维码和验证码信息，在手机上安装好相应的otp软件后，使用otp软件进行扫码即可（这里我使用的是微软的Authenticator）,同时输出的还有一次性的紧急验证码，用于紧急情况下的登录。

三、配置ssh

安装好otp软件后，我们还需要将其添加到ssh服务中。首先，需要修改/etc/pam.d/sshd文件，在文件最后添加如下内容：

auth required pam_google_authenticator.so
# auth required pam_google_authenticator.so nullok  # 没有开启两部验证的账号还可以登录,添加nullok，此行未验证，仅作记录

 接下来再修改/etc/ssh/sshd_config文件，将以下两项设置为yes

UsePAM yes
ChallengeResponseAuthentication yes

设置完成后，重启ssh服务

/etc/init.d/ssh restart

四、ssh登录提醒

为了进一步加强ssh的安全性，我们还可以开启ssh登录提醒，在有用户登录ssh时，能通过邮件或者其他形式对我们进行提醒。

要开启ssh登录提醒，需要在/etc/ssh目录下新建一个sshrc文件，并赋予执行权限，在该文件下可以编写shell代码，我这里是用stmp来进行邮件提醒通知。

五、ssh登录

当上面的一切都配置好时，我们可以尝试进行登录了，首先和平时一样进行ssh登录，在提示中输入密码，当跳出Verification code时，打开手机otp软件，查看对应的数字，输入到终端即可。