廈門云服務器的多因素認證配置與使用?

為提高廈門云服務器的安全性，啟用 多因素認證(MFA) 是一種非常有效的方式。MFA可以顯著增強服務器的訪問安全，減少因密碼泄露或暴力破解而帶來的風險。以下是如何在云服務器上配置和使用多因(yin)素認證的詳細步(bu)驟，特別是在常見的 SSH 登錄(lu) 和 云平臺控制臺訪問(wen) 中(zhong)的應用。

1. 為云平臺控制臺啟用多因素認證(MFA)

許多云(yun)服務商(如阿里(li)云(yun)、騰訊云(yun)等(deng))都提供了基于(yu)用戶名/密碼(ma)和設備生成的驗證(zheng)(zheng)碼(ma)的多因素認證(zheng)(zheng)。設置控制(zhi)臺 MFA  后，即使攻擊者獲得了密碼(ma)，仍然需要通(tong)過(guo)第(di)二個身份(fen)驗證(zheng)(zheng)步驟來獲得訪(fang)問權限。

1.1 在阿里云控制臺啟用 MFA

登錄到 阿里云控制臺。

點擊右上角的 賬戶名(ming)稱，選(xuan)擇 安全設置。

在 安全設置 頁面，點擊 啟用 多因素認證。

選(xuan)擇啟用(yong) 手機(ji)號碼驗證碼 或 硬(ying)件安全密鑰(例如 U2F 或 YubiKey)。

完成手(shou)機綁(bang)定(ding)或(huo)硬件(jian)密鑰設(she)置，系統(tong)會生成一個臨時驗證碼。

輸入驗證碼(ma)完(wan)(wan)成驗證后，MFA 設(she)置完(wan)(wan)成。

1.2 在騰訊云控制臺啟用 MFA

登錄到 騰訊云控制(zhi)臺。

點擊右(you)上角的 賬戶名，選擇 訪問管理。

在左側(ce)導(dao)航欄中，選(xuan)擇 多因素認證。

點擊 啟用 MFA。

可以選擇 手機(ji)應用程(cheng)序(如騰訊云安(an)全助手) 或(huo) 硬件密鑰。

根據提示完成(cheng) MFA 配置。完成(cheng)后，所有登(deng)錄將要(yao)求(qiu)提供手機驗證(zheng)碼(ma)。

2. 為云服務器 SSH 登錄啟用多因素認證

對于(yu)通(tong)過(guo) SSH 登錄 云服務(wu)器(如(ru)通(tong)過(guo)阿(a)里云、騰(teng)訊(xun)云等管理的 Linux 服務(wu)器)，可以使用 Google Authenticator 或 其(qi)他 TOTP(基于(yu)時(shi)間的一(yi)次性(xing)密碼(ma)) 應用來(lai)配置多因素認證。

2.1 步驟概述

安裝(zhuang) Google Authenticator 或(huo)其(qi)他 TOTP 工具。

配置 SSH 服(fu)務，啟用基于時間的多(duo)因素認證。

修(xiu)改 SSH 配置，啟用 MFA 驗證。

測試多(duo)因素認證配置。

2.2 安裝和配置 Google Authenticator

安裝(zhuang) Google Authenticator： 在(zai)云服(fu)務器上(shang)安裝(zhuang) Google Authenticator PAM 模(mo)塊(kuai)，它(ta)允許你在(zai)登錄時要求(qiu)用(yong)戶(hu)提供一個基于時間(jian)的一次性密碼(TOTP)。

在 Ubuntu/Debian 系統上：

sudo apt update

sudo apt install libpam-google-authenticator

在(zai) CentOS/RHEL 系統(tong)上：

sudo yum install google-authenticator

為每個用(yong)戶(hu)配置 Google Authenticator：

登錄到需要啟用(yong) MFA 的用(yong)戶賬戶。

執(zhi)行以下(xia)命(ming)令(ling)配置 Google Authenticator：

google-authenticator

系統(tong)會(hui)提示(shi)你一些配置選(xuan)項，如是否(fou)(fou)允(yun)許多個驗證碼、是否(fou)(fou)啟用短信驗證碼等。

配(pei)置完(wan)成后，會生成一(yi)個 QR 碼，你可以使用(yong) Google Authenticator 應用(yong)或 Authy 等支持 TOTP 的(de)應用(yong)掃(sao)描該二維(wei)碼。掃(sao)碼后，你的(de)手機(ji)應用(yong)將開始生成每30秒變化(hua)的(de)驗證(zheng)碼。

編輯 PAM 配置(zhi)文件：

打(da)開(kai) /etc/pam.d/sshd 文件，并確保文件中有以(yi)下行(xing)：

auth required pam_google_authenticator.so

這行(xing)代碼會告(gao)訴(su)系統在 SSH 登錄時(shi)(shi)要求用戶提供(gong)基(ji)于時(shi)(shi)間的驗證碼。

修改 SSH 配置文(wen)件(jian)：

打開 SSH 配(pei)置文件 /etc/ssh/sshd_config，確(que)保以(yi)下(xia)配(pei)置啟(qi)用(yong)：

ChallengeResponseAuthentication yes

這(zhe)將要(yao)求用戶在(zai)登錄時提(ti)供驗證碼。

重啟 SSH 服務：

重啟 SSH 服務，使更改生效：

sudo systemctl restart sshd

測試多因素認證：

在嘗(chang)試 SSH 登(deng)錄時，系統會要(yao)(yao)求你(ni)輸入(ru)密碼，然后再要(yao)(yao)求你(ni)輸入(ru) Google Authenticator 應用生成的驗證碼。

2.3 其他 TOTP 工具

Authy：一(yi)個多平臺的 TOTP 應用，支持(chi) Google Authenticator 的功能(neng)。

FreeOTP：一個開(kai)源的(de) TOTP 應用，可(ke)作為 Google Authenticator 的(de)替代品。

3. 配置 SSH 密鑰認證與 MFA 聯合使用

為(wei)了進一步提升安全性，可以將 SSH 密鑰認證 和 MFA 配合使(shi)用。這意味著用戶首先需要提供 SSH 密鑰，接(jie)著輸入 MFA 驗證碼來進行二次身份驗證。

生成 SSH 密(mi)鑰對：

在(zai)本地機器上生(sheng)成(cheng) SSH 密鑰對(dui)：

ssh-keygen -t rsa -b 4096

將公鑰上傳到云服務器：

ssh-copy-id user@your-server-ip

配置 SSH 僅允許使用密鑰登錄：

打開 /etc/ssh/sshd_config 文件，確保(bao)以(yi)下設置：

PasswordAuthentication no

PubkeyAuthentication yes

重啟 SSH 服(fu)務(wu)：

sudo systemctl restart sshd

啟用 MFA 驗(yan)證：

配(pei)置(zhi)完 SSH 密(mi)鑰認證(zheng)(zheng)后，繼續啟(qi)用 MFA(如前述(shu)的 Google Authenticator 配(pei)置(zhi))，要求用戶提供(gong)密(mi)碼(ma)和(he) MFA 驗證(zheng)(zheng)碼(ma)。

4. 安全注意事項

備(bei)份(fen) MFA 密(mi)鑰(yao)：當用戶(hu)啟用多因素認(ren)證時，系統(tong)會生(sheng)成一個恢復密(mi)鑰(yao)。確保妥善保存此密(mi)鑰(yao)，以便丟失設備(bei)或(huo)更(geng)換設備(bei)時恢復訪(fang)問權限。

禁用不必(bi)要的(de)訪問方式(shi)：確保只允許 SSH 密鑰(yao)和(he) MFA 驗證組合的(de)登錄方式(shi)，避免舊的(de)、容易被(bei)暴力破解的(de)認證方式(shi)(如密碼登錄)存在安全(quan)隱患。

監控異常(chang)登錄：通過(guo)日志監控，及時(shi)發現(xian)可能(neng)的異常(chang)登錄或暴力破解(jie)嘗試(shi)。可以使用 fail2ban 等工具來防止暴力破解(jie)攻擊。

5. 總結

配置多因素(su)認證是(shi)提高(gao)廈門云(yun)(yun)服(fu)務(wu)器安全性的重要步驟。通過為 云(yun)(yun)平臺控制臺 和 SSH 登錄(lu) 啟用 MFA，你能有效減少賬號(hao)被盜取的風險，保障服(fu)務(wu)器免(mian)受暴力(li)破(po)解(jie)和數據泄露的威(wei)脅。結合(he)強密碼策略、SSH 密鑰認證和 MFA，你的云(yun)(yun)服(fu)務(wu)器將具備更(geng)高(gao)的安全防護水平。