通常，您只需要输入密码或使用SSH密钥即可远程登录Ubuntu服务器。两因素身份验证(2FA)要求您输入两条验证信息才能登录。因此，您还需要输入基于时间的一次性密码才能登录SSH服务器。使用IETF标准的TOTP算法计算一次密码。如今，许多网站和服务为用户提供2FA保护其帐户的安全，最好在SSH服务器上启用2FA。

　　本教程将向您展示如何设置

　　①使用一次性密码进行密码认证

　　②使用一次性密码的公钥认证

　　注意：本文中将使用的开源服务器软件称为libpam-google-authenticator，它是从默认Ubuntu存储库安装的。Google不以任何形式参与任何身份验证过程。服务器软件和移动应用程序不需要网络访问。

　　1、在Ubuntu服务器上安装和配置Google Authenticator

　　登录您的Ubuntu服务器并运行以下命令，以从默认Ubuntu软件包存储库安装Google Authenticator。

　　sudo apt install libpam-google-authenticator

　　然后运行google-authenticator命令在您的主目录中创建一个新的密钥。

　　google-authenticator

　　当被问到“您是否希望身份验证令牌基于时间?” 回答y。

　　然后，您将看到可以使用手机上的应用程序扫描的QR二维码。我推荐两个应用程序：

　　Google Authenticator是最著名的TOTP移动应用。您可以通过手机上的Google Play或Apple应用商店安装它。

　　在谷歌身份验证器移动应用程序是不是开源。如果您不信任Google，则可以使用FreeOTP，这是Red Hat开发的开源TOTP移动应用程序。

　　使用手机上的Google Authenticator或FreeOTP扫描QR码。请注意，您需要放大终端窗口以扫描完整的QR码。

　　QR码代表密钥，只有您的SSH服务器和TOTP移动应用知道该密钥。扫描QR码后，您将在手机上看到一个六位数的一次性密码。默认情况下，它每30秒更改一次。您稍后需要输入此一次性密码，以便通过SSH登录Ubuntu服务器。

　　在终端窗口中，您可以看到密钥，验证码和紧急暂存码。建议您将此信息保存到安全的地方以备后用。

　　然后，您可以输入y回答所有剩余的问题。这将更新您的Google Authenticator配置文件，禁用同一身份验证令牌的多次使用，增加时间范围并启用速率限制以防止强行登录尝试。

　　2、将SSH守护程序配置为使用Google Authenticator

　　打开SSH服务器配置文件。

　　sudo nano /etc/ssh/sshd_config

　　在文件中找到以下两个参数，并确保将它们都设置为yes。

　　UsePAM yes

　　ChallengeResponseAuthentication yes

　　PAM代表可插入身份验证模块。它提供了一种简便的方法，可以将不同的身份验证方法插入Linux系统。要通过SSH启用Google Authenticator，必须启用PAM和质询响应身份验证。保存并关闭文件。然后重新启动SSH守护程序，以使更改生效。

　　sudo systemctl restart ssh

　　注意：要允许root用户使用2FA，必须先允许root用户通过SSH登录，配置为PermitRootLogin yes。不能是 PermitRootLogin no 或 PermitRootLogin prohibit-password。

　　默认情况下，质询-响应身份验证要求您输入用户密码才能登录。现在，为SSH守护程序编辑PAM规则文件。

　　sudo nano /etc/pam.d/sshd

　　在此文件的开头，您可以看到以下行，当ChallengeResponseAuthentication设置为时，它将启用密码验证yes。

　　@include common-auth

　　要同时启用一次性密码身份验证，请添加以下两行。

　　#One-time password authentication via Google Authenticator

　　auth required pam_google_authenticator.so

　　保存并关闭文件。从现在开始，SSH守护程序将要求您输入用户密码和验证码(由Google Authenticator生成的一次性密码)。

　　3、如何启用公钥身份验证和一次性密码身份验证

　　对于SSH安全性，建议您使用公钥身份验证而不是密码身份验证。

　　一旦设置了公共密钥身份验证并按照上述两个步骤进行操作，就可以将公共密钥身份验证与一次性密码身份验证结合使用。

　　编辑SSH守护程序配置文件。

　　sudo nano /etc/ssh/sshd_config

　　在上一步中，我们启用了质询响应认证，现在我们想让SSH守护进程知道用户必须同时通过公钥认证和质询响应认证。在此文件的末尾添加以下行。

　　AuthenticationMethods publickey,keyboard-interactive

　　保存并关闭文件。重新启动SSH守护程序，以使更改生效。

　　sudo systemctl restart ssh

　　我们还需要编辑SSH PAM配置文件。

　　sudo nano /etc/pam.d/sshd

　　注释掉以下行(在开头添加#)以禁用用户密码身份验证。

　　@include common-auth

　　保存并关闭文件。从现在开始，您需要使用SSH密钥和Google Authenticator验证码登录。

　　笔记

　　Ubuntu服务器上的每个用户都需要运行google-authenticator命令并扫描QR码，才能使用两因素身份验证。如果用户未设置并尝试登录，则将显示错误消息“ 权限被拒绝(键盘交互) ”。

　　紧急暂存代码是您的备用代码。如果您丢失了手机，则可以输入五个紧急暂存代码而不是一次性密码来完成两步验证。这些代码仅供一次性使用。

　　如果要更改密钥，只需登录服务器并google-authenticator再次运行命令以更新~/.google_authenticator文件。

　　由于一次性密码是使用共享密钥和当前时间计算的，因此最好在Ubuntu服务器上启用NTP时间同步以保持准确的时间，尽管以前我们允许Ubuntu之间的时间偏差为4分钟服务器和移动应用。您的Ubuntu服务器和TOTP移动应用可以使用不同的时区。

　　4、如何禁用SSH两因素身份验证

　　编辑SSH守护程序配置文件。

　　sudo nano /etc/ssh/sshd_config

　　查找以下行。

　　AuthenticationMethods publickey,keyboard-interactive

　　删除键盘交互式身份验证方法。

　　AuthenticationMethods publickey

　　保存并关闭文件。然后重新启动SSH守护程序。

　　sudo systemctl restart ssh