FreeBSDでOTPを使用して2要素認証を設定する方法

私はどこからでもアクセスできるようにしたいFreeBSDホストサーバーを持っています。通常、私はSSH公開鍵を使用してログインします。または、SSH秘密鍵を使用できない場合は、SSH経由で通常のパスワードを使用する可能性があります。ただし、信頼されていないマシンからログインする場合、キーロガーが入力時にパスワードを取得するリスクが常にあります。

FreeBSD は、ワンタイムパスワードスキームであるOPIEをすでにサポートしています。これはうまく機能しますが、必要な認証はワンタイムパスワードだけです。ワンタイムパスワードのリストを印刷して後で使用する場合、そのリストを紛失すると、それだけで誰かが必要になります。

私は、ワンタイムパスワード必要ように認証を設定したいのですが、プラス私が知っている何かを（パスワードではなく、私の通常のログインパスワードを除きます）。答えはPAM（および/etc/pam.d/sshd）に関係していると思いますが、詳細はわかりません。

2つの方法が必要な認証を設定するにはどうすればよいですか？

通常のアカウントのパスワード以外のパスワードを使用したいのでsecurity/pam_pwdfile、portsツリーから試してください。
基本的には、username:crypted_password認証に別のファイル（形式：）を使用できます。
これを使用するには、次の行をforの行の/etc/pam.d/sshd 直前に配置しますpam_opie。

auth    required    /usr/local/lib/pam_pwdfile.so    pwdfile    /path/to/pwd/file

Duo Security（当社）は、OTP、電話のコールバック、SMS、およびパスワード、Pubkey、またはPAMの有無にかかわらず主要な認証メカニズムを使用したSSHのスマートフォンプッシュ認証をサポートするオープンソースパッケージを提供しています。

http://blog.duosecurity.com/2011/04/announcing-duos-two-factor-authentication-for-unix/

これがpamを使用していると仮定すると、2つの必須モジュールを/etc/pam.d/に配置するだけの簡単なはずです。1つはOpie用、もう1つは他の認証用です。（たとえば、通常のUNIXパスワード）

pam-radiusの使用を検討してください。BSDでコンパイルする必要があります。エンタープライズ対応の2要素認証システムはすべて、半径をサポートしています。半径は非常に標準的な標準であるため、優れた柔軟性が得られます。

HTH。