仅在外部地址上进行两因素SSH身份验证

我有一台同时具有私有，内部，IP和面向公众的IP的Ubuntu服务器。我只想在公共端为SSH设置两因素身份验证。这可能吗？我曾计划使用Google Authenticator，但也欢迎其他想法。

是的，您可以使用完成此操作pam_access.so。该食谱摘自Wiki for Google Authenticator：

一个有用的PAM方法是，当连接源自某些来源时，允许跳过两因素身份验证。PAM已经支持此功能。例如，pam_access模块​​可用于根据本地子网检查源：

# skip one-time password if logging in from the local network
auth [success=1 default=ignore] pam_access.so accessfile=/etc/security/access-local.conf
auth       required     pam_google_authenticator.so

在这种情况下，access-local.conf看起来像：

# only allow from local IP range
+ : ALL : 10.0.0.0/24
+ : ALL : LOCAL
- : ALL : ALL

因此，从10.0.0.0/24开始的登录尝试将不需要两步验证。