想用易于使用的双因素身份验证来保护SSH服务器吗？Google提供了必要的软件来将googleauthenticator的基于时间的一次性密码（TOTP）系统与SSH服务器集成。当你连接时，你必须从**输入密码。

googleauthenticator不会给Google“打电话回家”——所有的工作都发生在SSH服务器和**上。事实上，googleauthenticator是完全开源的，所以您甚至可以自己检查它的源代码。

安装google验证器

为了用googleauthenticator实现多因素身份验证，我们需要开源的googleauthenticatorpam模块。PAM代表“可**的身份验证模块”——它是一种将不同形式的身份验证轻松**Linux系统的方法。

Ubuntu的软件库包含一个易于安装的googleauthenticatorpam模块包。如果您的Linux发行版不包含这个软件包，那么您必须从Google代码上的googleauthenticator下载页面下载它并自己编译。

要在Ubuntu上安装软件包，请运行以下命令：

sudo apt-get install libpam-google-authenticator

（这只会在我们的系统上安装PAM模块–我们必须手动激活它以进行SSH登录。）

创建身份验证密钥

以远程登录的用户身份登录，并运行googleauthenticator命令为该用户创建密钥。

允许命令通过键入y来更新您的Google Authenticator文件。然后将提示您几个问题，这些问题将允许您限制使用同一临时安全令牌，增加令牌可用于的时间窗口，并限制阻止暴力破解尝试的允许访问尝试。这些选择都用一些安全性换取一些易用性。

googleauthenticator会给你一个密钥和几个“紧急刮擦码”。把紧急刮擦码写在安全的地方——每个密码只能使用一次，如果你丢了**就可以使用。

在**上的Google Authenticator应用程序中输入密钥（Android、iOS和Blackberry都有官方应用程序）。您还可以使用扫描条形码功能–转到位于命令输出顶部附近的URL，您可以使用**摄像头扫描二维码。

现在你的**上会有一个不断变化的验证码。

如果要作为多个用户远程登录，请为每个用户运行此命令。每个用户都有自己的密钥和密码。

激活google验证器

接下来，您将需要googleauthenticator来进行SSH登录。为此，请在系统上打开/etc/pam.d/sshd文件（例如，使用sudo nano/etc/pam.d/sshd命令），并向文件中添加以下行：

auth required pam_google_authenticator.so

接下来，打开/etc/ssh/sshd_config文件，找到ChallengeResp***eAuthentication行，并将其更改为如下所示：

ChallengeResp***eAuthentication yes

（如果ChallengeResp***eAuthentication行不存在，请将上面的行添加到文件中。）

最后，重新启动SSH服务器，以便更改生效：

sudo service ssh restart

每当您尝试通过SSH登录时，系统都会提示您输入密码和Google验证器代码。