У меня есть сервер FreeBSD, к которому мне нравится иметь доступ откуда угодно. Обычно я использую открытый ключ SSH для входа в систему или, если у меня нет доступного закрытого ключа SSH, я могу использовать обычный пароль через SSH. Однако при входе в систему с ненадежной машины всегда существует риск того, что кейлоггер перехватит мой пароль для входа, когда я его набираю.
FreeBSD уже имеет поддержка OPIE который представляет собой схему одноразового пароля. Это отлично работает, но одноразовый пароль - это только необходима аутентификация. Если я распечатаю список одноразовых паролей для использования позже, то, если я потеряю этот список, это все, что кому-то нужно.
Я хочу настроить аутентификацию, чтобы мне нужен одноразовый пароль плюс кое-что, что я знаю (пароль, кроме моего обычного пароля для входа). У меня такое чувство, что ответ как-то связан с PAM (и /etc/pam.d/sshd
), но я не уверен в деталях.
Как я могу настроить аутентификацию, когда требуются два метода?
может быть, аутентификатор Google? У меня есть окно OpenSolaris, запрашивающее сначала обычный пароль для входа, а затем проверочный код TOTP. Что-то вроде этого: http://www.marzocchi.net/Olafsen/Software/Two-FactorAuthentication
Для этого вам необходимо объединить обычный модуль 'ssh_auth' с модулем 'pam_opie', используя контрольный флаг 'required'.