1.前言
这期我们来聊一聊二步验证。
双重认证Two-factor authentication,缩写为2FA,又称为双重验证、双因子认证、双因素认证,也有叫两步验证2-Step Verification,是多重要素验证中的一个特例,使用两种不同的元素,基于时间随机生成一串验证码用于和服务器验证的技术,来确认用户的身份。(类似之前网易的将军令和银行的电子令牌)
强烈建议每个人都用二步验证!
二步验证可以大大降低网络钓鱼攻击的成功率,减少盗号风险,即使我们的密码因为各种原因泄露了,由于黑客没有第二个验证因素,他们仍然无法访问我们的账户。
尽管二步验证不能提供100%的安全保障,但与单一密码相比,它显著增强了账户的安全性。
市面上有非常多的免费的两步验证工具,每一个工具大体上都差不多,但是也有一些区别。有一些人在选择双重验证工具时,可能比较看重安全性,认为那些带同步的双重验证软件有泄露的风险;有一些比较看重多设备同步,因为一旦手机丢失或者损坏,两步验证工具无法恢复数据将带来灾难性的后果。
如果你不想搭建,可以使用市面上的成熟产品,比如Google Authenticator或者authy,安卓可以使用Aegis
下面介绍一下咕咕使用过的这几个软件的特点:
-
Google Authenticator,谷歌出品,有Android 与 iOS客户端,支持云同步(但是不建议打开,有泄漏的风险)
-
Aegis,免费开源的二次验证(2FA)应用,可以导入导出,加密,自定义图标,夜间主题,选中高亮,没有云同步功能,且仅限安卓使用。(强烈推荐)
-
Authy,适用于 Android 和 iOS 移动设备以及Windows,Apple Watch,桌面程序等全平台,也支持登陆账号,比较不错;缺点是不支持导出。
-
Microsoft authenticator 不推荐使用,非常坑。
咕咕目前使用的方式,主要用Google Authenticator(不开启同步功能),然后在家里的pixel手机上装了Aegis,备份一份。
今天我们来介绍自建2FA,把我们的2FA账户存储在我们自己的独立数据库中,可以轻松备份和恢复(再也不用担心手机丢失而导致所有2FA账户都无法访问的情况了……)
2. 项目展示
直接丢几个图:
主界面
3. 相关地址
2fa GitHub仓库:https://2fa.org/
2fa 官方文档:https://docs.2fauth.app/
官方demo:https://demo.2fauth.app
4. 搭建环境
- 服务器:咕咕这边用的是莱卡云的CN2 GIA的机器
莱卡云双十一打折活动火热进行中,
莱卡云双十一活动,2核4G的香港服务器每个月仅售11.11元,每人限购一台,续费同价!
另有新客专享云服务器套餐,续费同价。
详情查看:https://www.lcayun.com/actcloud.html
当然你也可以用腾讯轻量应用服务器 ,(最好选 非大陆的,而且线路还不错的机器)如果是小白刚开始玩的话,也可以选择Racknerd的高性价比服务器(注意地区选美国西部城市的)
- 系统:Debian 11 (DD 脚本 非必需 DD,用原来的系统也 OK,之后教程都是用 Debian 或者 Ubuntu 搭建~)
- 安装好 Docker、Docker-compose(相关脚本)
- 【非必需但建议】域名一枚,并做好解析到服务器上(域名购买、域名解析 视频教程)
- 【非必需】提前安装好宝塔面板海外版本 aapanel,并安装好 Nginx(安装地址)
- 【非必需本教程选用】安装好 Nginx Proxy Manager(相关教程)
服务器建议:1C1G,能搭建docker即可
5. 搭建视频
5.1 YouTube
视频地址:https://youtu.be/tCjBUefV_Go
5.2 哔哩哔哩
哔哩哔哩:https://www.bilibili.com/video/BV1Xw411s7Lz/
6. 搭建方式
如果你不是用的腾讯云的轻量应用服务器,可以直接跳到 6.1 部分。
安装系统(腾讯云轻量应用服务器)
腾讯云轻量服务器最大的特点就是 “轻量”,相比 CVM,更适合小白上手,这边我们之间选择 Docker 基础镜像,就可以省去后面安装 Docker 的步骤 (如果你非要用国内的服务器,这边装的 Docker 镜像还会帮你配置好国内镜像源,让你加速访问 docker 镜像资源) 不建议用国内的 。
登陆(腾讯云轻量应用服务器)
6.1 安装 Docker 与 Nginx Proxy Manager
可以直接参考这篇内容:
https://blog.laoda.de/archives/nginxproxymanager/
6.2 创建安装目录
创建一下安装的目录:
sudo -i
mkdir -p /root/data/docker_data/2fa
cd /root/data/docker_data/2fa
mkdir data
#修改目录所有者和权限
chown 1000:1000 data
chmod 700 data
cd /root/data/docker_data/2fa
vim docker-compose.yml
英文输入法下,按 i
原版内容,环境变量非常多,还有smtp服务:
version: "3"
services:
2fauth:
image: 2fauth/2fauth
container_name: 2fauth
volumes:
- ./2fauth:/2fauth
ports:
- 8000:8000/tcp
environment:
# 你可以更改应用程序的名称
- APP_NAME=2FAuth
# 你可以将其保留为“local”。如果你将其更改为“production”,大多数控制台命令将要求额外确认。
# 永远不要将其设置为“testing”。
- APP_ENV=local
# 如果你想在错误屏幕中看到调试信息,请将此设为true。
- APP_DEBUG=false
# 这应该是你的电子邮件地址
- SITE_OWNER=mail@example.com
# 加密键用于你的数据库和会话。请确保这个非常安全。
# 如果你生成了一个新的,所有现有的数据必须被视为丢失。
# 将其更改为一个确切的32个字符的字符串,或使用命令`php artisan key:generate`来生成它
- APP_KEY=SomeRandomStringOf32CharsExactly
# 这个变量必须与你安装的外部地址匹配,但请记住,
# 它只在命令行中使用作为回退值。
- APP_URL=http://localhost
# 如果你想让你的应用程序像演示一样反应,可以将此设置为true。
# 演示模式每小时重置应用程序内容,并设置一个通用的演示用户。
- IS_DEMO_APP=false
# 日志通道定义了你的日志条目去哪里。
# “daily”是默认的日志模式,为你提供在/storage/logs/下的5个日轮换日志文件。
# 还存在多个其他选项。你可以使用“single”来获取一个很大的错误日志(不推荐)。
# 还可以使用'syslog'、'errorlog'和'stdout',它们会记录到系统本身。
- LOG_CHANNEL=daily
# 日志级别。你可以从最不严重到最严重设置:
# debug, info, notice, warning, error, critical, alert, emergency
# 如果设置为debug,你的日志会很快变大。如果设置为emergency,可能
# 永远不会记录任何东西。
- LOG_LEVEL=notice
# 数据库配置(只能是sqlite)
- DB_DATABASE="/srv/database/database.sqlite"
# 如果你正在寻找性能改进,你可以安装memcached。
- CACHE_DRIVER=file
- SESSION_DRIVER=file
# 邮件设置
# 参考你的电子邮件提供商文档来配置你的邮件设置
# 为每个可用的设置设置一个值以避免问题
- MAIL_DRIVER=log
- MAIL_HOST=smtp.mailtrap.io
- MAIL_PORT=2525
- MAIL_FROM=changeme@example.com
- MAIL_USERNAME=null
- MAIL_PASSWORD=null
- MAIL_ENCRYPTION=null
- MAIL_FROM_NAME=null
- MAIL_FROM_ADDRESS=null
# 认证设置
# 默认的认证守护
# 支持:
# 'web-guard' : Laravel内置的auth系统(如果为null则为默认)
# 'reverse-proxy-guard' : 当2FAuth部署在处理认证的反向代理后面时
# 警告
# 使用'reverse-proxy-guard'时,2FAuth只查找专用的头部信息并跳过所有其他内置的
# 认证检查。这意味着你的代理完全负责认证过程,只要头部信息存在,2FAuth就
# 会信任它。
- AUTHENTICATION_GUARD=web-guard
这种应用,不用搞这么复杂,以下是咕咕修改的:
version: "3"
services:
2fauth:
image: 2fauth/2fauth
container_name: 2fauth
volumes:
- ./data:/2fauth
ports:
- 8120:8000/tcp
environment:
- APP_NAME=2FAuth
- APP_KEY=SomeRandomStringOf32CharsExactly
- APP_URL=https://2fa.gugu.ovh
- IS_DEMO_APP=false
- LOG_CHANNEL=daily
- LOG_LEVEL=notice
- DB_DATABASE="/srv/database/database.sqlite"
- CACHE_DRIVER=file
- SESSION_DRIVER=file
- AUTHENTICATION_GUARD=web-guard
切换成英文输入法,修改好之后,按一下 esc
,然后 :wq
保存退出。
6.3 打开服务器防火墙(非必需)并访问网页
打开防火墙的端口 8120
举例,腾讯云打开方法如下(部分服务商没有自带的面板防火墙,就不用这步操作了):
类似图中的,这边我们填 8120
,示例填 2fa
,确定即可(如果你在 docker-compose 文件里换了 9009
,这边就需要填 9009
,以此类推)
查看端口是否被占用(以 8120
为例),输入:
lsof -i:8120 #查看 8120 端口是否被占用,如果被占用,重新自定义一个端口
如果啥也没出现,表示端口未被占用,我们可以继续下面的操作了~
如果出现:
-bash: lsof: command not found
运行:
apt install lsof #安装 lsof
如果端口没有被占用(被占用了就修改一下端口,比如改成 8381
,注意 docker 命令行里和防火墙都要改)
理论上我们就可以输入 http://ip:8120
访问了。
但是这边我们必须先搞一下反向代理!
做反向代理前,你需要一个域名!
namesilo 上面 xyz 后缀的域名一年就 7 块钱,可以年抛。(冷知识,namesilo上 6位数字的xyz续费永远都是0.99美元 = =)
如果想要长期使用,还是建议买 com 后缀的域名,更加正规一些,可以输入 laodade
来获得 1 美元的优惠(不知道现在还有没有)
namesilo 自带隐私保护,咕咕一直在用这家,价格也是这些注册商里面比较低的,关键是他家不像其他家域名注册商,没有七七八八的套路!(就是后台界面有些丑 古老 = =)
【域名购买】Namesilo 优惠码和域名解析教程(附带服务器购买推荐和注意事项)
我们接着往下看!
7. 反向代理
7.1 利用 Nginx Proxy Manager
在添加反向代理之前,确保你已经完成了域名解析,不会的可以看这个:域名一枚,并做好解析到服务器上(域名购买、域名解析 视频教程)
之后,登陆 Nginx Proxy Manager(不会的看这个:安装 Nginx Proxy Manager(相关教程))
注意:
Nginx Proxy Manager(以下简称 NPM)会用到
80
、443
端口,所以本机不能占用(比如原来就有 Nginx)
这边以2fa为例子,element也是一样操作即可。
直接丢几张图:
注意填写对应的
域名
、IP
和端口
,按文章来的话,应该是8120
IP 填写:
如果 Nginx Proxy Manager 和 2fa 在同一台服务器上,可以在终端输入:
ip addr show docker0
查看对应的 Docker 容器内部 IP。
否则直接填 2fa
所在的服务器 IP 就行。
7.2 利用宝塔面板
发现还是有不少小伙伴习惯用宝塔面板,这边也贴一个宝塔面板的反代配置:
直接新建一个站点,不要数据库,不要 php,纯静态即可。
然后打开下面的配置,修改 Nginx 的配置。
代码如下:
location / {
proxy_pass http://127.0.0.1:8120/; # 注意改成你实际使用的端口
rewrite ^/(.*)$ /$1 break;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Upgrade-Insecure-Requests 1;
proxy_set_header X-Forwarded-Proto https;
}
此方法对 90% 的反向代理都能生效,然后就可以用域名来安装访问了。
有同学可能会问,为什么不直接用宝塔自带的反向代理功能。
也可以,不过咕咕自己之前遇到过当有多个网站需要反代的时候,在这边设置会报错的情况 = =
所以后来就不用了,直接用上面的方法来操作了。
8. 使用教程
建议参考视频,或者自己尝试一下。
8.1 更新 2fa
cd /root/data/docker_data/2fa
docker-compose pull
docker-compose up -d # 请不要使用 docker-compose stop 来停止容器,因为这么做需要额外的时间等待容器停止;docker-compose up -d 直接升级容器时会自动停止并立刻重建新的容器,完全没有必要浪费那些时间。
docker image prune # prune 命令用来删除不再使用的 docker 对象。删除所有未被 tag 标记和未被容器使用的镜像
提示:
WARNING! This will remove all dangling images.
Are you sure you want to continue? [y/N]
输入 y
利用 Docker 搭建的应用,更新非常容易~
8.2 卸载 2fa
同样进入安装页面,先停止所有容器。
cd /root/data/docker_data/2fa
docker-compose down
cd ..
rm -rf /root/data/docker_data/2fa # 完全删除
可以卸载得很干净。
9. 常见问题及注意点
9.1 关闭注册
9.2 数据库加密
存储在数据库中的敏感数据(2FA秘钥和otpauth URI)可以进行加密,以保护它们免受数据库被攻破的风险。
在2FAuth的设置 > 选项部分中勾选“保护敏感数据”选项,启用加密功能。
加密适用于所有用户的数据。
警告
强烈建议在启用加密时备份.env文件中定义的APP_KEY值(或整个文件)。
如果丢失此密钥,则无法生成一次性密码。
如果遗失了该密钥,则没有任何解决办法。
10. 结尾
祝大家用得开心,有问题可以去 GitHub 提 Issues,也可以在评论区互相交流探讨。
同时,有能力给项目做贡献的同学,也欢迎积极加入到 项目 中来,贡献自己的一份力量!
最后,感谢开发人员们的辛苦付出,让我们能用到这么优秀的项目!
评论区