我们知道通过网页登陆，群晖目前已经给admin用户增加了谷歌二次验证功能

其它普通的用户也可以开启这个谷歌二次验证功能。

但root用户ssh登陆一直没有二次验证，只要输入密码就可以登陆了

很多人为了安全性，就修改了端口，有的直接关闭了这个ssh登陆功能

今天我介绍一种方法，给root超级管理员增加一个谷歌动态口令验证，再一次提高ssh远程登陆的安全，看起来也更有逼格

教程开始
此方法适用于dsm6.X  ，  dsm5.x没有测试不清楚能不能用。

1、首先正常用root用户ssh登陆到群晖修改ssh配置文件，只需要修改几处

配置文件路径  /etc/ssh/sshd_config

vi  /etc/ssh/sshd_config   打开文件后找到如下几处

1. ChallengeResponseAuthentication yes
   
2. UsePAM yes

复制代码

2、增加谷歌动态口令验证模块，让ssh服务调用google authenticator pam安全验证模块

配置文件路径   /etc/pam.d/sshd

1. [root@test ~]# vi /etc/pam.d/sshd      #增加以下代码   
   
2. auth required pam_google_authenticator.so

复制代码

动态库文件pam_google_authenticator.so 我已经编译好了，附近直接下载即可。

下载后解压出来，一定要放到如下目录  /usr/lib/security  

如下图所示 确保权限是0755

1	[root@test ~]# chmod 0755  /usr/lib/security/pam_goolge_authenticator.so

pam_google_authenticator.rar (13.68 KB, 下载次数: 8)

2018-12-30 12:20 上传

点击文件名下载附件
谷歌动态口令模块

3、为手机添加谷歌验证码

输入命令 google-authenticator     按y确认，如下图所示
底下那好几个一串数字是应急使用的一次性验证码，备用的，
当手机丢失，或是手机上谷歌身份验证器被你不小心删除，输入那些数字是可以登陆的，但只能使用一次




在手机上谷歌身份验证aap里添加账号
账号名随意写，  密钥就是上面命令运行后生成的那串代码。



手机上添加账号完成后，现在重启群晖即可使用谷歌动态口令+密码登陆验证身份了。

注意登陆的时候仔细看下，是让你输入密码还是动态口令验证， 不要输错了。

两个都要输入正确才能登陆。

如果你之前开启了公钥证书验证登陆，这个也可以使用，并不影响。

下面是用xshell登陆时的截图

啥也不说了，感谢楼主分享哇！

可以。。。看看能不能用

技术文档，支持一下。

wjq998 发表于 2018-12-30 23:39
谷歌在中国，能正常访问的人只是少数啊

这个是动态口令验证，不需要网络，你可能没用过。