現在不管事 Google 或者臉書，都常常可以看得到有兩部分驗證的機制。

Google 也很佛心的把 src code release 出來，讓大家可以自在己的機器上面實作。

詳情請見 Tsung's Blog 的

Linux SSH 加上 Google 兩階段認證服務檢核

爬到這篇文章才發現原來 Google 有 Google Authenticator這支 AP。

這是甚麼呢？

像我之前 Google 兩階段驗證都是使用簡訊來處理。這樣會有兩個問題

1. 在收訊不好的地方會讓你跳腳 (收不到簡訊)

2. 簡訊軟體裡面有一堆你收到的認證簡訊

這個 AP 可以很乾淨的解決我的需求。

昨天按照步驟想說為我的 UBUNTU 加上這個功能的時候卡在

步驟 6. ssh your.server.name # 測試

說明一下我的 scenario ， 我平常不太想碰我的 server 所以都是遠端用 putty登入的。

我做完 步驟五 因為我常常開很多視窗登入 還把其中的

Do you want to disallow multiple uses of the same authentication token? This restricts you to one login about every 30s, but it increases your chances to notice or even prevent man-in-the-middle attacks (y/n) y --> 我設成 n

做完這步我就開其他 putty (視窗 2 )想要測試登入，結果連第一步的密碼都過不去!!!!!

還好原本的視窗還留著在上面做 ssh user@Server.com 之後還重新印了一段 fingerprint 之後就正常了 ~ 

所以不要忘記最後的步驟 6    這並不是只有測試而已 ~ 

上面是在 UBUNTU 上面的故事 到此就 happy ending 了

不過在 Server 2 上面比較悲慘 因為做到

/etc/init.d/ssh restart

原本的 ssh 就 斷線然後連線不能 !!!!!!!

差點人生的跑馬燈就要在我眼前浮現了 ~  還好 server 重開就好了 

可能是我原本sshd_config 裡面的 UsePAM 沒有開 不過現在暫時不想去實驗 ~ 

最近幾天就忙這些東西 所以爬了不少文章 也釐清一些觀念

如果要加強 server 安全性的話 還有 public key / private key 的作法

可以搜尋 keyword ssh 免密碼登入

免密碼怎麼還會安全呢? 原來我們輸入密碼就像是 一把鑰匙 key 一樣 

另外一個做法是 生成 public key (鎖頭)+ private key (鑰匙) 的組合 然後再把鎖頭丟到 Server 上 

鑰匙則匯入你常用的 Client 上面

不過如果有時候要在陌生的地方登入就比較麻煩了 ~ 

我之前對於這些 private key public key 的東西也是很困擾

上面鎖頭和鑰匙的說法希望可以讓大家比較好理解

另外 finger print (指紋) 指得又是甚麼呢 ? 因為你產生了一組 鎖頭 和 鑰匙 之後 上面就會沾上了你的指紋

這個比喻不好的話或者說 有些人鑰匙太多 就會在鑰匙貼上小標籤 "大門" 這樣只要看到標籤就可以知道這是哪裡的鑰匙了 ~ 

fingerprint 可以用

ssh-keygen -lf xxx.pub

來產生

xxx.pub 也可以是 private key 

做一次就知道我上面的再說甚麼了 :D