為了提高安全性，您可以要求使用基於時間的身份驗證令牌和密碼登入到您的Linux PC。此解決方案使用Google Authenticator和其他TOTP應用程式。

這個過程是在ubuntu14.04上用標準的Unity桌面和LightDM登入管理器執行的，但是在大多數Linux發行版和桌面上的原理是相同的。

我們之前向您展示瞭如何要求googleauthenticator透過SSH進行遠端訪問，這個過程與此類似。這不需要googleauthenticator應用程式，但可以與任何實現TOTP身份驗證方案的相容應用程式一起使用，包括Authy。

安裝google驗證器pam

相關：如何使用googleauthenticator的雙因素身份驗證來保護SSH

當設定SSH訪問時，我們首先需要安裝適當的PAM（“pluggable authentication module”）軟體。PAM是一個允許我們將不同型別的身份驗證方法**到Linux系統中並要求它們的系統。

在Ubuntu上，以下命令將安裝Google Authenticator PAM。開啟終端視窗，鍵入以下命令，按Enter鍵，然後提供密碼。系統將從Linux發行版的軟體儲存庫下載PAM並安裝：

sudo apt-get install libpam-google-authenticator

其他Linux發行版也應該有這樣的軟體包，以便於安裝——開啟Linux發行版的軟體庫並對其進行搜尋。在最壞的情況下，您可以在GitHub上找到PAM模組的原始碼並自己編譯。

正如我們之前指出的，這個解決方案並不依賴於“打電話回家”到谷歌的伺服器。它實現了標準的TOTP演算法，即使您的計算機沒有網際網路接入，也可以使用。

建立身份驗證金鑰

現在，您需要建立一個祕密身份驗證金鑰，並將其輸入到**上的googleauthenticator應用程式（或類似應用程式）中。首先，以您的使用者帳戶登入Linux系統。開啟一個終端視窗並執行googleauthenticator命令。鍵入y並按照此處的提示操作。這將在當前使用者帳戶的目錄中建立一個包含Google驗證器資訊的特殊檔案。

你還將經歷將雙因素驗證碼輸入谷歌驗證器或智慧**上類似的TOTP應用程式的過程。你的系統可以生成一個二維碼，你可以掃描，也可以手動輸入。

一定要記下你的緊急刮擦程式碼，如果你丟失了**，你可以用它來登入。

對使用計算機的每個使用者帳戶執行此過程。例如，如果你是唯一一個使用你電腦的人，你可以在你的普通使用者帳戶上只使用一次。如果您有其他人使用您的計算機，您將希望他們登入到自己的帳戶，併為自己的帳戶生成適當的雙因素程式碼，以便他們能夠登入。

啟用身份驗證

這就是事情變得有點棘手的地方。當我們解釋如何為SSH登入啟用two-factor時，我們只需要為SSH登入啟用two-factor。這確保了你仍然可以登入本地，如果你失去了你的認證應用程式或出現了問題。

因為我們將為本地登入啟用雙因素身份驗證，所以這裡存在潛在的問題。如果出現問題，您可能無法登入。記住這一點，我們將指導您如何僅為圖形登入啟用此功能。如果你需要的話，這會給你一個逃生艙口。

在ubuntu上為圖形登入啟用google authenticator

您可以始終僅為圖形登入啟用兩步身份驗證，從文字提示登入時跳過該要求。這意味著您可以輕鬆地切換到一個虛擬終端，在那裡登入，並恢復您的更改，這樣當您遇到問題時就不需要使用Gogole Authenciator了。

當然，這會在您的身份驗證系統中開啟一個漏洞，但是對您的系統具有物理訪問許可權的攻擊者仍然可以利用它。這就是為什麼雙因素身份驗證對於透過SSH的遠端登入特別有效的原因。

下面是如何為使用LightDM登入管理器的Ubuntu實現這一點。使用如下命令開啟LightDM檔案進行編輯：

sudo gedit /etc/pam.d/lightdm

（請記住，只有在Linux發行版和桌面使用LightDM登入管理器時，這些特定步驟才有效。）

在檔案末尾新增以下行，然後儲存：

auth required pam_google_authenticator.so nullok

最後的“nullok”位告訴系統允許使用者登入，即使他們沒有執行googleauthenticator命令來設定雙因素身份驗證。如果他們已經設定好了，他們將不得不輸入一個時間baesd程式碼-否則他們不會。刪除“nullok”和使用者帳戶誰沒有設定一個谷歌認證程式碼將無法以圖形方式登入。

下次使用者以圖形方式登入時，系統會詢問他們的密碼，然後提示他們輸入**上顯示的當前驗證碼。如果他們不輸入驗證碼，他們將不被允許登入。

對於其他Linux發行版和桌面，這個過程應該相當類似，因為大多數常見的Linux桌面會話管理器都使用PAM。您可能只需要用類似的東西編輯一個不同的檔案就可以啟用相應的PAM模組。

如果使用主目錄加密

較舊版本的Ubuntu提供了一個簡單的“主資料夾加密”選項，可以在輸入密碼之前加密整個主目錄。具體來說，它使用ecryptfs。但是，由於PAM軟體依賴於預設情況下儲存在主目錄中的Google Authenticator檔案，因此加密會干擾PAM讀取該檔案，除非您在登入之前確保該檔案以未加密的形式提供給系統。如果您仍然使用不推薦的主目錄加密選項，請參閱自述檔案以獲取有關避免此問題的更多資訊。

現代版本的Ubuntu提供了全磁碟加密，這將與上述選項配合使用。你不必做什麼特別的事

救命啊，壞了！

因為我們剛剛為圖形登入啟用了這個功能，所以如果它導致問題，應該很容易禁用它。按Ctrl+Alt+F2這樣的組合鍵訪問虛擬終端，並使用使用者名稱和密碼登入。然後可以使用sudo nano/etc/pam.d/lightdm這樣的命令開啟該檔案，以便在終端文字編輯器中進行編輯。使用我們的Nano指南刪除行並儲存檔案，您將能夠再次正常登入。

您還可以透過新增行“auth required pam\u Google”來強制其他型別的登入需要googleauthenticator，甚至可能是所有系統登入_驗證器.so“其他PAM配置檔案。你這樣做要小心。請記住，您可能需要新增“nullok”，以便尚未完成安裝過程的使用者仍然可以登入。

關於如何使用和設定這個PAM模組的更多文件可以在GitHub上的軟體自述檔案中找到。