Google Authenticator 是个好东西。它不仅可以增强 Google 账户登录的安全性，更因为它开源的特性，被部署到别的地方使用。比如 Linux PAM、WordPress 等，使用户可以借助 Google 的这套 OTP 方案，增强自己的服务器、网站和个人电脑的安全性。笔者之前就写过一篇详细的教程《用 Google Authenticator 加强 VPS 及 WordPress 甚至桌面电脑的安全性》，介绍如何把 Google Authenticator 部署到服务器、WordPress 和个人电脑上。如果你觉得这还不够安全的话，本文将会教会你如何把它部署到 Apache 里。

一、Google Authenticator 的 Apache 模块的优势

如何增强服务器的安全性？这个问题向来都是站长们的讨论焦点。从 SSH 登录方面来说，可以限制 IP 地址登录，可以禁用密码登录（仅用公钥登录），可以用 Fail2ban 来对付它们，甚至可以把尝试暴力破解的 IP 加到 iptables 黑名单中等。但是，Web 前端怎么办？总不能限制 IP 地址访问吧？比如 WordPress 的管理后台和 phpMyAdmin 的登录页面，就是很容易遭到攻击的地方。为了防御这种人肉攻击，简单点地做法是用mod_auth_basic 或 mod_auth_digest 来进行验证，高档一点的话，可以用 mod_ssl 中的双向 TLS 认证。但是前者太简单，如果页面是 http:// 的话，密码是明文传输的，对攻击者来说十分方便的，而后者相对来说比较复杂，要自己建立并维护一个 CA，或者需要花钱去请第三方 CA 签名证书。而 Google Authenticator 的 Apache 模块 mod_authn_google 则提供一种经济、方便、简洁、有效的认证方式：动态密码认证。

相对 mod_auth_basic 来说，mod_authn_google 的密码是动态的，更不易被猜解；相对 mod_ssl 的双向 TLS 认证来说，mod_authn_google 免去了额外请第三方 CA 签名的资金和复杂的配置 CA 证书的过程的痛苦。

二、安装 mod_authn_google

由于这不是官方模块，所以必然是要我们自己来下载安装的。这个项目的主页在这里，但是它的下载列表中提供的模块是有 Bug 的，如果不想自己修复 Bug 的话，可以在这里下载到 Bug 修复后的 mod_authn_google。

注意，这个模块是在 64 位 Linux 下编译的，如果你用的是 32 位的系统，请下载源码后自行编译。

下载得到的是一个 .so 的库文件，可以使用 apxs2 脚本来安装，以 Ubuntu 等基于 APT 和 dpkg 的发行版为例，这个脚本可以通过安装 apache2-prefork-dev 包得到。

接下来便可使用 apxs2 来安装模块：

各参数含义：

-i

安装

-a

自动添加 LoadModule 语句，方便加载

-n authn_google

安装后模块的名字

mod_authn_google.so

刚才下载得到的模块的文件名

由于这是一个已经编译好的模块了，所以除了用脚本来自动安装，也可以手工安装：

三、配置 mod_authn_google

首先要建一个供它存放认证信息的地方，比如 /etc/apache2/ga_auth，接下来编辑 /etc/apache2/mods-available/authn_google.conf 文件，以下是范例：

保存退出之后，再

即可，如果没有报错的话，现在现在 mod_authn_google 应该已经在工作了，访问 /secret 的话会提示输入用户名密码，但是我们没有添加用户，所以输啥都是错的。

四、添加认证用户

认证用户是通过 Google Authenticator 提供的工具来生成认证文件的，将生成的认证文件复制到 GoogleAuthUserPath 所对应的目录即可，比如/etc/apache2/ga_auth。

如何使用 Google Authenticator 生成新用户的说明，在这篇文章中已经很清楚了，这里再提一下：

1. 使用包管理器安装 libpam-google-authenticator 这个包。以 Ubuntu Server 为例：
2. 如果之前用过 Google Authenticator，请先将 ~/.google_authenticator 文件改名备份一下。
3. 运行

   命令，把屏幕上的 QR 码扫描到装有 Google Authenticator 的手机中，并按照提示回答几个问题，生成新的 ~/.google_authenticator 文件。

这样便生成了一个有效的用户。将家目录中新生成的 .google_authenticator 文件复制到 /etc/apache2/ga_auth 目录下，文件名为用户名，并使用

（把 wzyboy 更换为相应的用户名）更改文件权限，以确保 Apache 能读取它，便完成了一个用户的添加。如需更多用户访问，重复这些步骤即可。最后记得把家目录里的 .google_authenticator 文件改回来。

五、调试与侦错

建议在浏览器的隐身窗口中进行调试以排除 Cookies 的干扰。如果出错，可从 /var/log/apache2/error.log 中找答案。

补充：该模块在 Google Code 上的预编译文件有 Bug，不读取 Cookies，导致提示找不到 /etc/apache2/ga_auth/(null) 文件。这时一个比较搞笑的 wordaround 就是把你的用户认证信息文件重命名为 (null)，然后就可以配合这个 Bug 继续工作了。此时用户名输什么都可以，密码则是要保持正确的。这倒也别有一番风味……

原文发布时间为：2014-03-06