【晒方案，赢千元大奖】简简单单主机防暴力破解(Windows Linux)

Linux 随机密钥登陆 （基于Google Authenticator ）

什么是 Google Authenticator？

Google Authenticator是一个2-step验证的Google 谷歌账号保护方式。

它是这样运作的：在你的移动设备上，Google Authenticator会生成一个code，你需要输入这个code才能够对你的账号进行操作。Google Authenticator为你的设备带来了更上一个台阶的保护。

Google Authenticator可以通过QR码做自动设置调整，同时支持多个账号，当然的，也支持多种语言的服务。

这种方法虽然简单，但是却非常有效的保护了你的Google账号不被泄露。在使用前，你需要先在谷歌账号设置界面开启Google账号的2-step验证选项。如果你重视自己的谷歌账户隐私和安全，Google Authenticator是你不二的选择。

作为开源项目，Google Authenticator不仅提供从Android，IOS，BlackBerry，WP客户端，还提供了PAM模块可以用在Linux上.

安卓版下载：https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=cn
IOS版下载 :https://itunes.apple.com/cn/app/google-authenticator/id388497605?mt=8

请注意Google Authenticator是基于时间算法的，客户端和服务器时间时区最好一致.腾讯云无需做更改.
输入 date 如果看到Tue Jun 10 20:03:12 CST 2014 和本地时间一致即可.

第1步： 生成复杂密码，将Linux密码加固到16位或者更高

打开百度，搜索"密码生成器"，点击第一个应用，来生成一个16位或者更多的复杂密码.

用Xshell登录服务器，执行 passwd ,然后输入2次新的加固密码即可，看到passwd: all authentication tokens updated successfully.就表示密码更改成功.

第2步：更改登陆端口

例如 要更改的端口为：12315，第2行和第4行的12315换成您自己的端口

sed -i "s/#   Port 22/Port 22/g" /etc/ssh/ssh_config  
sed -i "s/Port 22/Port 12315/g" /etc/ssh/ssh_config  
sed -i "s/#Port 22/Port 22/g" /etc/ssh/sshd_config  
sed -i "s/Port 22/Port 12315/g" /etc/ssh/sshd_config  

第3步：安装需要的组件（Centos），Ubuntu注意看下面

yum -y install wget gcc make mercurial pam-devel libpng-devel ntp gcc-c++  

cd ~
wget http://fukuchi.org/works/qrencode/qrencode-3.4.3.tar.gz
tar zxf qrencode-3.4.3.tar.gz
cd qrencode-3.4.3
./configure --prefix=/usr && make && make install

cd ~
wget http://google-authenticator.googlecode.com/files/libpam-google-authenticator-1.0-source.tar.bz2
tar jxf libpam-google-authenticator-1.0-source.tar.bz2
cd libpam-google-authenticator-1.0
make && make install

注意：Ubuntu这里请用即可:

sudo apt-get -y update
sudo apt-get -y install ntp libpam-google-authenticator  

第4步：生成google-authenticator文件

执行命令：

google-authenticator

所有问答窗口一律输入 y ,然后用手机上的 谷歌身份验证器（菜单-设置账户-扫描条形码） 扫描二维码.

界面下方显示的部分，请记录到安全位置,里面的是备用紧急代码(在手机无效的情况下可用，每个代码只能用一次 )：

Your emergency scratch codes are:
  74476578
  43441803
  97954113
  57341746
  36705555

第5步：配置ssh应用Google Authenticator验证系统

执行SSH配置更改，重启ssh服务

sed  -i '1 a\ auth       required     pam_google_authenticator.so' /etc/pam.d/sshd  

cat /etc/pam.d/sshd  

sed -i "s/ChallengeResponseAuthentication no/ChallengeResponseAuthentication yes/g" /etc/ssh/ssh_config
sed -i "s/ChallengeResponseAuthentication no/ChallengeResponseAuthentication yes/g" /etc/ssh/sshd_config

cat /etc/ssh/sshd_config

service sshd restart
service ssh restart

然后新开一个窗口连接服务器，会提示输入Verification code:

如果登陆客户端不同，可能样式如下：

[root@ca ~]# ssh root@IP地址
Verification code: [输入手机生成的验证码]
Password: :[输入密码]

Last login: Tue Jun 10 20:50:46 2014 from 124.X.X.X  

这样设置以后的好处就是别人试图暴力破解的时候，因为没有手机生成的Google Authenticator验证码，无法登录服务器，无法猜解.

也可以安装第6步里面的DenyHosts，猜解超过5次就会被自动封锁。

第6步：安装DenyHosts，尝试错误登陆5次（有该用户）或者10次(无该用户)自动封锁IP一周（可选操作）

cd /usr/local/src
wget -c http://nchc.dl.sourceforge.net/project/denyhosts/denyhosts/2.6/DenyHosts-2.6.tar.gz
tar -zxvf DenyHosts-2.6.tar.gz
cd DenyHosts-2.6
python setup.py install
cd ..
rm -rf DenyHosts-2.6.tar.gz
rm -rf DenyHosts-2.6
cd /usr/share/denyhosts/
cp denyhosts.cfg-dist denyhosts.cfg
sed -i 's#DENY_THRESHOLD_ROOT = 1#DENY_THRESHOLD_ROOT = 5#' /usr/share/denyhosts/denyhosts.cfg
sed -i 's#PURGE_DENY = #PURGE_DENY = 1w#' /usr/share/denyhosts/denyhosts.cfg
cp daemon-control-dist daemon-control
chmod 700 daemon-control
./daemon-control start
cd /etc/init.d
ln -s /usr/share/denyhosts/daemon-control denyhosts
chkconfig denyhosts --add
chkconfig denyhosts on --level 2345

至此全部安装完毕，只有持有手机上的Google Authenticator验证码才可以登录，没有验证码任何人也无法登录你的服务器。