Come impostare l'autenticazione a due fattori con OTP su FreeBSD?

Ho un server ospitato su FreeBSD che mi piace essere in grado di raggiungere ovunque. Normalmente uso SSH publickey per accedere, o se non ho la mia chiave privata SSH disponibile, potrei usare una password normale su SSH. Tuttavia, quando si accede da una macchina non attendibile, c'è sempre il rischio che un keylogger acquisisca la mia password mentre la digito.

FreeBSD ha già il supporto per OPIE che è uno schema di password monouso. Funziona benissimo, ma la password monouso è l' unica autenticazione necessaria. Se stampo un elenco di password monouso da utilizzare in un secondo momento, se perdo quell'elenco è tutto ciò di cui qualcuno ha bisogno.

Vorrei impostare l'autenticazione in modo che mi serva una password singola e qualcosa che conosco (una password, tranne la mia solita password di accesso). Ho la sensazione che la risposta abbia qualcosa a che fare con PAM (e /etc/pam.d/sshd) ma non sono sicuro dei dettagli.

Come posso impostare l'autenticazione dove sono richiesti due metodi?

Poiché desideri utilizzare una password diversa da quella per il tuo account normale, prova security/pam_pwdfiledall'albero delle porte.
Fondamentalmente, ti permette di usare un file alternativo (formato username:crypted_password:) per autenticarti.
Per usarlo, inserisci la seguente riga /etc/pam.d/sshd prima della riga per pam_opie:

auth    required    /usr/local/lib/pam_pwdfile.so    pwdfile    /path/to/pwd/file

Duo Security (la nostra azienda) offre un pacchetto open source che supporta l'autenticazione OTP, callback, SMS e push smartphone per SSH con password, pubkey o qualsiasi meccanismo di autenticazione principale - con o senza PAM:

http://blog.duosecurity.com/2011/04/announcing-duos-two-factor-authentication-for-unix/

Supponendo che questo usi pam, dovrebbe essere semplice come mettere due moduli richiesti in /etc/pam.d/. Uno per Opie e uno per l'altra autenticazione. (ad esempio, la normale password UNIX)

Prendi in considerazione l'utilizzo di pam-radius. Dovrebbe compilare su BSD. Tutti i sistemi di autenticazione a due fattori con supporto aziendale supportano il raggio. Il raggio è uno standard molto standard in modo da ottenere una grande flessibilità.

HTH.