Google Authenticator PAM模块安全配置实践

引言

在Linux系统中，Google Authenticator PAM模块为系统提供了基于时间的一次性密码(TOTP)认证功能。然而，默认配置下存在一个潜在的安全隐患：当攻击者获取用户权限后，可以读取.google_authenticator文件内容，从而完全绕过双因素认证保护。

安全风险分析

默认情况下，.google_authenticator文件存储在用户主目录下，权限设置为600(用户可读写)。这种配置存在以下风险：

1. 任何获得用户权限的攻击者都能读取该文件
2. 文件包含生成一次性密码所需的种子密钥
3. 攻击者可以利用该密钥生成有效的一次性密码
4. 结合已获得的用户权限，攻击者可轻松提升至root权限

安全加固方案

方案一：更改文件所有权

1. 将.google_authenticator文件所有权改为root：

sudo chown root:root ~/.google_authenticator

2. 修改PAM配置，指定用户为root：

auth required pam_google_authenticator.so secret=/home/${USER}/.google_authenticator user=root [authtok_prompt=Authenticator token: ]

方案二：变更文件存储位置

更安全的做法是将认证文件移出用户主目录：

1. 创建集中存储目录：

sudo mkdir -p /etc/google-authenticator
sudo chmod 755 /etc/google-authenticator

2. 移动并设置权限：

sudo mv ~/.google_authenticator /etc/google-authenticator/${USER}
sudo chown root:root /etc/google-authenticator/${USER}
sudo chmod 400 /etc/google-authenticator/${USER}

3. 更新PAM配置：

auth required pam_google_authenticator.so secret=/etc/google-authenticator/${USER}

技术原理

该方案利用了Linux文件系统权限模型：

1. 将关键认证文件设置为root所有
2. 限制文件权限为400(仅root可读)
3. PAM模块以root权限运行，可以读取该文件
4. 普通用户无法查看或修改文件内容

注意事项

1. 确保PAM模块配置正确，否则可能导致认证失败
2. 建议同时启用其他安全措施，如限制sudo权限
3. 定期检查文件权限是否被意外修改
4. 备份密钥文件，防止意外丢失导致无法登录

总结

通过调整.google_authenticator文件的所有权和存储位置，可以显著提高双因素认证的安全性。这种配置方式特别适合对安全性要求较高的生产环境，能有效防止权限提升攻击。建议系统管理员根据实际环境选择适合的加固方案。