Bagaimana cara mengatur otentikasi dua faktor dengan OTP di FreeBSD?

Saya memiliki server yang di-host FreeBSD yang saya suka untuk dapat dari mana saja. Biasanya saya menggunakan SSH publickey untuk masuk, atau jika saya tidak memiliki kunci pribadi SSH saya maka saya mungkin menggunakan kata sandi biasa melalui SSH. Namun, ketika masuk dari mesin yang tidak terpercaya selalu ada risiko keylogger menangkap kata sandi saya saat saya mengetiknya.

FreeBSD sudah memiliki dukungan untuk OPIE yang merupakan skema kata sandi satu kali. Ini berfungsi dengan baik, tetapi kata sandi satu kali adalah satu - satunya otentikasi yang diperlukan. Jika saya mencetak daftar kata sandi satu kali untuk digunakan nanti, maka jika saya kehilangan daftar itu, itulah yang dibutuhkan seseorang.

Saya ingin mengatur otentikasi sehingga saya memerlukan kata sandi satu kali plus sesuatu yang saya tahu (kata sandi, kecuali bukan kata sandi login saya yang biasa). Saya merasa jawabannya ada hubungannya dengan PAM (dan /etc/pam.d/sshd) tapi saya tidak yakin dengan detailnya.

Bagaimana saya mengatur otentikasi di mana dua metode diperlukan?

Karena Anda ingin menggunakan kata sandi yang bukan kata sandi untuk akun normal Anda, coba security/pam_pwdfiledari pohon porta.
Pada dasarnya, ini memungkinkan Anda untuk menggunakan file alternatif (format username:crypted_password:) untuk diautentikasi.
Untuk menggunakannya, letakkan baris berikut /etc/pam.d/sshd tepat sebelum baris untuk pam_opie:

auth    required    /usr/local/lib/pam_pwdfile.so    pwdfile    /path/to/pwd/file

Duo Security (perusahaan kami) menawarkan paket sumber terbuka yang mendukung OTP, panggilan balik telepon, SMS, dan otentikasi push smartphone untuk SSH dengan kata sandi, pubkey, atau mekanisme autentikasi utama apa pun - dengan atau tanpa PAM:

http://blog.duosecurity.com/2011/04/announcing-duos-two-factor-authentication-for-unix/

Dengan asumsi ini menggunakan pam, seharusnya semudah meletakkan dua modul yang diperlukan di /etc/pam.d/. Satu untuk Opie, dan satu untuk auth Anda yang lain. (katakanlah, kata sandi UNIX normal)

Pertimbangkan untuk menggunakan pam-radius. Itu harus dikompilasi pada BSD. Semua sistem otentikasi dua faktor yang didukung perusahaan mendukung radius. Radius adalah standar yang sangat standar sehingga Anda akan mendapatkan fleksibilitas besar.

HTH.