LinuxSSH双因素认证设置教程

Linux SSH双因素认证并非简单开启即可生效，而是一个需要时间同步、PAM规则精确配置与SSH服务端参数协同配合的精密过程：服务器与手机UTC时间偏差必须控制在±2秒内（TOTP对时间极度敏感），/etc/pam.d/sshd中的auth规则须置于顶部并正确指定模块路径与参数（如使用`[success=ok default=die]`而非`required`），/etc/ssh/sshd_config中必须启用`ChallengeResponseAuthentication yes`和`UsePAM yes`，同时用户家目录权限（700）与`.google_authenticator`文件权限（600）稍有不符就会导致静默失败——任何一环出错，轻则验证码反复被拒、重则登录直接断连，真正实现安全加固，靠的是细节的严丝合缝，而非功能的粗放开启。

直接上结论：SSH双因素认证不是“开了就安全”，而是必须同时满足时间同步、PAM规则顺序、SSH配置开关三者正确，缺一不可；否则你会遇到输入密码后直接断连、验证码始终被拒绝、或者压根不提示输验证码等问题。

为什么 google-authenticator 生成的码总被拒绝？

最常见原因是服务器与手机时间偏差超过30秒。TOTP（基于时间的一次性密码）依赖精确时间戳，哪怕差15秒，生成的6位码就完全对不上。

• 用 chrony 或 ntpd 同步系统时间，别只跑一次 ntpdate：它只是单次校准，无法持续纠偏
• 检查手机是否启用了“自动设置时间”（iOS/Android 设置里确认），禁用“使用网络提供的时间”反而可能导致误差
• 验证时间差：在服务器和手机上同时执行 date -u，对比UTC时间，偏差应控制在 ±2 秒内
• 如果服务器在虚拟机或容器中，确认宿主机未暂停过时间，且已启用 virtio-rng 或类似时钟稳定机制

/etc/pam.d/sshd 中这行 auth 规则怎么写才生效？

写错位置或参数会导致 PAM 跳过验证，或者把验证逻辑当成可选项。Debian/Ubuntu 和 RHEL/CentOS 的模块路径、默认行为差异很大。

• 必须加在 /etc/pam.d/sshd 文件顶部（在 @include common-auth 之前），否则可能被其他规则提前终止
• 推荐写法（兼容性更强）：auth [success=ok default=die] pam_google_authenticator.so nullok user=root —— 注意 nullok 允许未配置 Google Authenticator 的用户跳过，上线前务必删掉；user=root 是硬编码，应改用 secret=/home/${USER}/.google_authenticator
• 不要用 required：它会让整个认证链在失败时继续执行后续模块，导致“输错验证码还能进”
• 确认模块文件真实存在：ls /lib/security/pam_google_authenticator.so（Debian）或 ls /usr/lib64/security/pam_google_authenticator.so（RHEL8+）

/etc/ssh/sshd_config 哪几项必须改、哪项不能乱动？

SSH 守护进程必须明确知道要触发 Challenge-Response 流程，否则 PAM 根本不会被调用。但改错参数会直接锁死你自己。

• 必须启用：ChallengeResponseAuthentication yes（不是 KeyboardInteractiveAuthentication，后者已被弃用）
• 必须启用：UsePAM yes —— 没这一句，/etc/pam.d/sshd 就是废纸
• 谨慎调整：PasswordAuthentication：设为 no 前，先确保你有可用的 SSH 密钥登录通道，否则可能永久失联
• 避免碰：AuthenticationMethods —— 这个高级选项要求严格匹配（比如 publickey,keyboard-interactive），新手极易配错导致登录直接失败
• 改完必须重载：sudo systemctl reload sshd（不是 restart，避免连接中断）

最容易被忽略的是用户主目录权限：SSH 登录时，PAM 会读取 ~/.google_authenticator，这个文件必须是 600，所在目录 ~ 必须是 700，否则 PAM 直接静默拒绝——连日志都不记。用 ls -ld ~ ~/.google_authenticator 看一眼，比反复重装模块有用得多。

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于文章的相关知识，也可关注golang学习网公众号。