为了提高安全性，您可以要求使用基于时间的身份验证令牌和密码登录到您的Linux PC。此解决方案使用Google Authenticator和其他TOTP应用程序。

这个过程是在ubuntu14.04上用标准的Unity桌面和LightDM登录管理器执行的，但是在大多数Linux发行版和桌面上的原理是相同的。

我们之前向您展示了如何要求googleauthenticator通过SSH进行远程访问，这个过程与此类似。这不需要googleauthenticator应用程序，但可以与任何实现TOTP身份验证方案的兼容应用程序一起使用，包括Authy。

安装google验证器pam

相关：如何使用googleauthenticator的双因素身份验证来保护SSH

当设置SSH访问时，我们首先需要安装适当的PAM（“pluggable authentication module”）软件。PAM是一个允许我们将不同类型的身份验证方法**到Linux系统中并要求它们的系统。

在Ubuntu上，以下命令将安装Google Authenticator PAM。打开终端窗口，键入以下命令，按Enter键，然后提供密码。系统将从Linux发行版的软件存储库下载PAM并安装：

sudo apt-get install libpam-google-authenticator

其他Linux发行版也应该有这样的软件包，以便于安装——打开Linux发行版的软件库并对其进行搜索。在最坏的情况下，您可以在GitHub上找到PAM模块的源代码并自己编译。

正如我们之前指出的，这个解决方案并不依赖于“打电话回家”到谷歌的服务器。它实现了标准的TOTP算法，即使您的计算机没有互联网接入，也可以使用。

创建身份验证密钥

现在，您需要创建一个秘密身份验证密钥，并将其输入到**上的googleauthenticator应用程序（或类似应用程序）中。首先，以您的用户帐户登录Linux系统。打开一个终端窗口并运行googleauthenticator命令。键入y并按照此处的提示操作。这将在当前用户帐户的目录中创建一个包含Google验证器信息的特殊文件。

你还将经历将双因素验证码输入谷歌验证器或智能**上类似的TOTP应用程序的过程。你的系统可以生成一个二维码，你可以扫描，也可以手动输入。

一定要记下你的紧急刮擦代码，如果你丢失了**，你可以用它来登录。

对使用计算机的每个用户帐户执行此过程。例如，如果你是唯一一个使用你电脑的人，你可以在你的普通用户帐户上只使用一次。如果您有其他人使用您的计算机，您将希望他们登录到自己的帐户，并为自己的帐户生成适当的双因素代码，以便他们能够登录。

激活身份验证

这就是事情变得有点棘手的地方。当我们解释如何为SSH登录启用two-factor时，我们只需要为SSH登录启用two-factor。这确保了你仍然可以登录本地，如果你失去了你的认证应用程序或出现了问题。

因为我们将为本地登录启用双因素身份验证，所以这里存在潜在的问题。如果出现问题，您可能无法登录。记住这一点，我们将指导您如何仅为图形登录启用此功能。如果你需要的话，这会给你一个逃生舱口。

在ubuntu上为图形登录启用google authenticator

您可以始终仅为图形登录启用两步身份验证，从文本提示登录时跳过该要求。这意味着您可以轻松地切换到一个虚拟终端，在那里登录，并恢复您的更改，这样当您遇到问题时就不需要使用Gogole Authenciator了。

当然，这会在您的身份验证系统中打开一个漏洞，但是对您的系统具有物理访问权限的攻击者仍然可以利用它。这就是为什么双因素身份验证对于通过SSH的远程登录特别有效的原因。

下面是如何为使用LightDM登录管理器的Ubuntu实现这一点。使用如下命令打开LightDM文件进行编辑：

sudo gedit /etc/pam.d/lightdm

（请记住，只有在Linux发行版和桌面使用LightDM登录管理器时，这些特定步骤才有效。）

在文件末尾添加以下行，然后保存：

auth required pam_google_authenticator.so nullok

最后的“nullok”位告诉系统允许用户登录，即使他们没有运行googleauthenticator命令来设置双因素身份验证。如果他们已经设置好了，他们将不得不输入一个时间baesd代码-否则他们不会。删除“nullok”和用户帐户谁没有设置一个谷歌认证代码将无法以图形方式登录。

下次用户以图形方式登录时，系统会询问他们的密码，然后提示他们输入**上显示的当前验证码。如果他们不输入验证码，他们将不被允许登录。

对于其他Linux发行版和桌面，这个过程应该相当类似，因为大多数常见的Linux桌面会话管理器都使用PAM。您可能只需要用类似的东西编辑一个不同的文件就可以激活相应的PAM模块。

如果使用主目录加密

较旧版本的Ubuntu提供了一个简单的“主文件夹加密”选项，可以在输入密码之前加密整个主目录。具体来说，它使用ecryptfs。但是，由于PAM软件依赖于默认情况下存储在主目录中的Google Authenticator文件，因此加密会干扰PAM读取该文件，除非您在登录之前确保该文件以未加密的形式提供给系统。如果您仍然使用不推荐的主目录加密选项，请参阅自述文件以获取有关避免此问题的更多信息。

现代版本的Ubuntu提供了全磁盘加密，这将与上述选项配合使用。你不必做什么特别的事

救命啊，坏了！

因为我们刚刚为图形登录启用了这个功能，所以如果它导致问题，应该很容易禁用它。按Ctrl+Alt+F2这样的组合键访问虚拟终端，并使用用户名和密码登录。然后可以使用sudo nano/etc/pam.d/lightdm这样的命令打开该文件，以便在终端文本编辑器中进行编辑。使用我们的Nano指南删除行并保存文件，您将能够再次正常登录。

您还可以通过添加行“auth required pam\u Google”来强制其他类型的登录需要googleauthenticator，甚至可能是所有系统登录_验证器.so“其他PAM配置文件。你这样做要小心。请记住，您可能需要添加“nullok”，以便尚未完成安装过程的用户仍然可以登录。

关于如何使用和设置这个PAM模块的更多文档可以在GitHub上的软件自述文件中找到。