Làm cách nào để thiết lập xác thực hai yếu tố với OTP trên FreeBSD?

Tôi có một máy chủ lưu trữ FreeBSD mà tôi muốn có thể đến từ bất cứ đâu. Thông thường tôi sử dụng SSH publickey để đăng nhập hoặc nếu tôi không có khóa riêng SSH thì tôi có thể sử dụng mật khẩu thông thường qua SSH. Tuy nhiên, khi đăng nhập từ một máy không đáng tin cậy, luôn có nguy cơ một keylogger chiếm được mật khẩu của tôi khi tôi nhập nó.

FreeBSD đã hỗ trợ cho OPIE , đây là chương trình mật khẩu một lần. Điều này hoạt động rất tốt, nhưng mật khẩu một lần là xác thực duy nhất cần thiết. Nếu tôi in ra một danh sách các mật khẩu một lần để sử dụng sau này, thì nếu tôi mất danh sách đó thì đó là tất cả những gì ai đó cần.

Tôi muốn thiết lập xác thực để tôi cần mật khẩu một lần cộng với thứ tôi biết (mật khẩu, ngoại trừ mật khẩu đăng nhập thông thường của tôi). Tôi có cảm giác câu trả lời có liên quan đến PAM (và /etc/pam.d/sshd) nhưng tôi không chắc về chi tiết.

Làm cách nào tôi có thể thiết lập xác thực trong đó yêu cầu hai phương thức?

Vì bạn muốn sử dụng mật khẩu không phải là mật khẩu cho tài khoản thông thường của mình, hãy thử security/pam_pwdfiletừ cây cổng.
Về cơ bản, nó cho phép bạn sử dụng một tệp thay thế (định dạng username:crypted_password:) để xác thực.
Để sử dụng nó, hãy đặt dòng sau vào /etc/pam.d/sshd bên phải trước dòng cho pam_opie:

auth    required    /usr/local/lib/pam_pwdfile.so    pwdfile    /path/to/pwd/file

Duo Security (công ty của chúng tôi) cung cấp gói nguồn mở hỗ trợ OTP, gọi lại điện thoại, SMS và xác thực đẩy điện thoại thông minh cho SSH bằng mật khẩu, pubkey hoặc bất kỳ cơ chế xác thực chính nào - có hoặc không có PAM:

http://blog.duosecurity.com/2011/04/announcing-duos-two-factor-authentication-for-unix/

Giả sử điều này sử dụng pam, nó sẽ đơn giản như đặt hai mô-đun cần thiết vào /etc/pam.d/. Một cho Opie, và một cho auth khác của bạn. (giả sử, mật khẩu UNIX bình thường)

Xem xét sử dụng bán kính pam. Nó sẽ biên dịch trên BSD. Tất cả các hệ thống xác thực hai yếu tố có khả năng doanh nghiệp hỗ trợ bán kính. Bán kính là một tiêu chuẩn rất chuẩn nên bạn sẽ có được sự linh hoạt tuyệt vời.

HTH.