如何在FreeBSD上使用OTP设置两因素身份验证？

我有一个FreeBSD托管服务器，我希望能够从任何地方访问它。通常，我使用SSH公钥登录，或者如果我没有可用的SSH私钥，则可以通过SSH使用常规密码。但是，从不受信任的计算机登录时，总是存在键盘记录器在键入密码时捕获我的密码的风险。

FreeBSD已经支持OPIE，这是一次性密码方案。这很好用，但是一次性密码是唯一需要的身份验证。如果我打印出一次使用的密码列表供以后使用，那么如果我丢失了该列表，那么这就是所有人的需要。

我想设置身份验证，以便我需要一个一次性密码和一个我知道的东西（一个密码，除了我通常的登录密码外）。我觉得答案与PAM（和/etc/pam.d/sshd）有关，但我不确定细节。

如何在需要两种方法的地方设置身份验证？

由于您要使用的密码与普通帐户的密码不同，因此请尝试security/pam_pwdfile从端口树输入密码。
基本上，它允许您使用备用文件（格式：）username:crypted_password进行身份验证。
要使用它，把下面的行/etc/pam.d/sshd 权前的行pam_opie：

auth    required    /usr/local/lib/pam_pwdfile.so    pwdfile    /path/to/pwd/file

Duo Security（我们的公司）提供了一个开源软件包，该软件包支持通过密码，pubkey或任何主要身份验证机制对SSH进行OTP，电话回叫，SMS和智能手机推送身份验证-带有或不带有PAM：

http://blog.duosecurity.com/2011/04/announcing-duos-two-factor-authentication-for-unix/

假设这使用了pam，那么应该简单地将两个必需的模块放在/etc/pam.d/中。一个用于Opie，另一个用于您的其他身份验证。（例如，普通的UNIX密码）

考虑使用pam-radius。它应该在BSD上编译。所有具有企业功能的两因素身份验证系统都支持radius。半径是非常标准的标准，因此您将获得很大的灵活性。

HTH。