Двухфакторная аутентификация для SSH
Установка пакета
apt install -y openssh-server libpam-google-authenticator
Правка конфига PAM
В файл /etc/pam.d/common-auth
необходимо добавить следующее:
auth required pam_google_authenticator.so
Правка конфига ssh
В файл /etc/ssh/sshd_config
необходимо добавить следующее:
ChallengeResponseAuthentication yes
Конфигурация аутентификации
Следующая команда сконфигурирует TOTP. Запускать команду следует от имени того пользователя, к которому будет инициализированно подключение.
google-authenticator
Управление факторами (необязательно)
Для запроса ключа при аутентификации необходимо в файл /etc/ssh/sshd_config
добавить следующее:
AuthenticationMethods publickey,password publickey,keyboard-interactive
Для отключения запроса пароля при аутентификации необходимо в файле /etc/pam.d/sshd
закомментировать следующюю строку:
# @include common-auth
Перезапуск сервиса ssh
systemctl restart ssh