因此，我拥有了一个小巧的yubikey，并且我想在验证ssh会话时添加一个额外的安全层。在服务器端，我已经禁用了密码身份验证，并且仅允许登录时使用ssh密钥。

问题是，在为yubikey auth配置sshd和PAM之后，sshd仍然只需要一个ssh密钥，而我从未被要求提供yubikey的响应。

如何同时要求ssh key 和 yubikey？

(ubuntu 14.04 - trusty)

/etc/pam.d/common-auth：

auth    required    pam_yubico.so mode=client try_first_pass id=<id> key=<secret>
auth    [success=1 default=ignore]  pam_unix.so nullok_secure try_first_pass
# here's the fallback if no module succeeds
auth    requisite           pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth    required            pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth    optional            pam_cap.so
# end of pam-auth-update config

/etc/ssh/sshd_config：

...

PasswordAuthentication no
ChallengeResponseAuthentication yes
UsePAM yes

好的，我一直坚持下去，我认为我已经提出了一个合理的解决方案。我以前想念的主要东西是sshd AuthenticationMethods publickey,password。这对公共密钥和密码都提出了要求-现在由来处理“密码” PAM->auth-yubi。还需要进行其他更改，请参见下文：

（Ubuntu 14.04-值得信赖）：

/etc/pam.d/yubi-auth

auth    required pam_yubico.so mode=client try_first_pass id=<id> key=<key>

注意：您可以在此处获取访问ID和密钥

/etc/pam.d/sshd

# Standard Un*x authentication.
#@include common-auth

# Yubikey auth
@include yubi-auth

/ etc / ssh / sshd_config

UsePAM yes
ChallengeResponseAuthentication no
AuthenticationMethods publickey,password
PasswordAuthentication yes

service ssh restart

验证

来自没有公钥的远程主机的SSH

root@0a6442bcb21c:/# ssh ben@192.168.1.20
The authenticity of host '192.168.1.20 (192.168.1.20)' can't be established.
ECDSA key fingerprint is ea:2a:e3:98:35:72:66:b1:e0:65:6b:3f:60:8a:af:ab.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.20' (ECDSA) to the list of known hosts.
Permission denied (publickey).

使用公钥从远程主机进行 SSH

$ ssh ben@192.168.1.20
Authenticated with partial success.
ben@192.168.1.20's password:
Welcome to Ubuntu 14.04.3 LTS (GNU/Linux 3.19.0-33-generic x86_64)

改善

进行身份验证时，最好从远程ssh服务器上看到“ Yubikey Auth：”而不是“ password：”。

如果ssh服务器无法联系yubico的身份验证系统，该怎么办？理想的解决方案将是完全独立的。

评论和建议表示赞赏。

用Yubikey设置2FA可能很棘手（认为U2F有openssh 补丁），但是最简单的方法可能是Yubico官方网站上描述的方法。

基本上，这是将您的私钥存储在Yubikey上并用PIN保护的方法。它与您描述的2FA并不完全相同（但这是您拥有的东西以及您知道的东西），但是它甚至可以进一步提高安全性（在尝试不成功后，Yubikey会锁定）。

TL：DR;

OPENSC_LIBS=`locate opensc-pkcs11.so`
yubico-piv-tool -s 9a -a generate -o public.pem
yubico-piv-tool -a verify-pin -P 123456 -a selfsign-certificate -s 9a \
  -S "/CN=SSH key/" -i public.pem -o cert.pem
yubico-piv-tool -a import-certificate -s 9a -i cert.pem
ssh-keygen -D $OPENSC_LIBS/opensc-pkcs11.so -e
ssh -I $OPENSC_LIBS/opensc-pkcs11.so user@remote.example.com