Назад | Перейти на главную страницу

Как настроить двухфакторную аутентификацию с OTP на FreeBSD?

У меня есть сервер FreeBSD, к которому мне нравится иметь доступ откуда угодно. Обычно я использую открытый ключ SSH для входа в систему или, если у меня нет доступного закрытого ключа SSH, я могу использовать обычный пароль через SSH. Однако при входе в систему с ненадежной машины всегда существует риск того, что кейлоггер перехватит мой пароль для входа, когда я его набираю.

FreeBSD уже имеет поддержка OPIE который представляет собой схему одноразового пароля. Это отлично работает, но одноразовый пароль - это только необходима аутентификация. Если я распечатаю список одноразовых паролей для использования позже, то, если я потеряю этот список, это все, что кому-то нужно.

Я хочу настроить аутентификацию, чтобы мне нужен одноразовый пароль плюс кое-что, что я знаю (пароль, кроме моего обычного пароля для входа). У меня такое чувство, что ответ как-то связан с PAM/etc/pam.d/sshd), но я не уверен в деталях.

Как я могу настроить аутентификацию, когда требуются два метода?

может быть, аутентификатор Google? У меня есть окно OpenSolaris, запрашивающее сначала обычный пароль для входа, а затем проверочный код TOTP. Что-то вроде этого: http://www.marzocchi.net/Olafsen/Software/Two-FactorAuthentication

Для этого вам необходимо объединить обычный модуль 'ssh_auth' с модулем 'pam_opie', используя контрольный флаг 'required'.