У меня есть виртуальный сервер Ubuntu, который я использую для веб-хостинга и прочего. Я думал о том, чтобы переместить на него почту, но мне бы хотелось защитить его от угрозы потери смартфона. Google имеет Двухэтапная проверка системы, которые позволяют устройствам иметь собственный пароль.
Есть ли стандартный UNIX-y способ разрешить одной учетной записи иметь несколько учетных данных, чтобы я мог отозвать одну позже, не отменяя их всех?
С PAM возможно все. Вот почему «P» означает подключаемый. Вы можете использовать многофакторную аутентификацию, одноразовые пароли, сканеры радужной оболочки глаза и все, что вам нравится (и для того, какой плагин существует).
Один из плагинов - Google Authenticator для двухфакторной аутентификации. См. Этот пост для инструкций и исходного кода: http://www.mnxsolutions.com/security/two-factor-ssh-with-google-authenticator.html
Есть ли стандартный UNIX-y способ разрешить одной учетной записи иметь несколько учетных данных, чтобы я мог отозвать одну позже, не отменяя их всех?
В зависимости от того, как вы получаете доступ к своей системе (и используете эти учетные записи), вы можете сделать это очень легко с помощью SSH и аутентификации на основе ключей.
Действительные учетные данные (открытые ключи) хранятся в ~/.ssh/authorized_keys или ~/.ssh/authorized_keys2. Если один пользователь больше не должен иметь доступ к соответствующей учетной записи, просто удалите его ключ из authorized_keys.