Google Authenticator PAM模块安全配置实践

2025-07-07 02:56:59作者：平淮齐Percy

引言

在Linux系统中，Google Authenticator PAM模块为系统提供了基于时间的一次性密码(TOTP)认证功能。然而，默认配置下存在一个潜在的安全隐患：当攻击者获取用户权限后，可以读取.google_authenticator文件内容，从而完全绕过双因素认证保护。

安全风险分析

默认情况下，.google_authenticator文件存储在用户主目录下，权限设置为600(用户可读写)。这种配置存在以下风险：

任何获得用户权限的攻击者都能读取该文件
文件包含生成一次性密码所需的种子密钥
攻击者可以利用该密钥生成有效的一次性密码
结合已获得的用户权限，攻击者可轻松提升至root权限

安全加固方案

方案一：更改文件所有权

将.google_authenticator文件所有权改为root：

sudo chown root:root ~/.google_authenticator

修改PAM配置，指定用户为root：

auth required pam_google_authenticator.so secret=/home/${USER}/.google_authenticator user=root [authtok_prompt=Authenticator token: ]

方案二：变更文件存储位置

更安全的做法是将认证文件移出用户主目录：

sudo mkdir -p /etc/google-authenticator
sudo chmod 755 /etc/google-authenticator

移动并设置权限：

sudo mv ~/.google_authenticator /etc/google-authenticator/${USER}
sudo chown root:root /etc/google-authenticator/${USER}
sudo chmod 400 /etc/google-authenticator/${USER}

更新PAM配置：

auth required pam_google_authenticator.so secret=/etc/google-authenticator/${USER}

技术原理

该方案利用了Linux文件系统权限模型：

将关键认证文件设置为root所有
限制文件权限为400(仅root可读)
PAM模块以root权限运行，可以读取该文件
普通用户无法查看或修改文件内容

注意事项

确保PAM模块配置正确，否则可能导致认证失败
建议同时启用其他安全措施，如限制sudo权限
定期检查文件权限是否被意外修改
备份密钥文件，防止意外丢失导致无法登录

总结

通过调整.google_authenticator文件的所有权和存储位置，可以显著提高双因素认证的安全性。这种配置方式特别适合对安全性要求较高的生产环境，能有效防止权限提升攻击。建议系统管理员根据实际环境选择适合的加固方案。

google-authenticator-libpam

Google Authenticator PAM module

项目地址：https://gitcode.com/gh_mirrors/go/google-authenticator-libpam

登录后查看全文

项目优选

收起

Ascend Extension for PyTorch

本项目是CANN提供的数学类基础计算算子库，实现网络在NPU上加速计算。

openEuler内核是openEuler操作系统的核心，既是系统性能与稳定性的基石，也是连接处理器、设备与服务的桥梁。

433

392

MindSpeed-MM

华为昇腾面向大规模分布式训练的多模态大模型套件，支撑多模态生成、多模态理解。

Claude Code 的开源替代方案。连接任意大模型，编辑代码，运行命令，自动验证 — 全自动执行。用 Rust 构建，极致性能。｜ An open-source alternative to Claude Code. Connect any LLM, edit code, run commands, and verify changes — autonomously. Built in Rust for speed. Get Started

🎉 (RuoYi)官方仓库基于SpringBoot，Spring Security，JWT，Vue3 & Vite、Element Plus 的前后端分离权限管理系统

Vue

1.67 K

986