Glücklicherweise verfügt OpenSSH ebenfalls über die Möglichkeit einer 2-Faktor-Authentifizierung. Das bedeutet, dass neben Benutzername und Passwort nun auch ein OTP (One Time Password) zum Einsatz kommt. Die Konfiguration ist dabei wirklich sehr einfach.
Zunächst installiert man folgendes Paket:
apt install libpam-google-authenticator
Danach trägt man folgende Zeile in die /etc/pam.d/sshd
ein:
auth required pam_google_authenticator.so
Im Anschluss muss in der /etc/ssh/sshd_config
folgendert Wert eingestellt werden:
ChallengeResponseAuthentication yes
Nun als Root oder mit Sudo folgende Zeile aufrufen:
google-authenticator
Die folgenden Fragen aufmerksam lesen und entsprechend beantworten. Den QR-Code mit dem Handy bspw. mit Authy einscannen und fertig. Die generierten "Scratch Codes" sicher aufbewahren. Sie werden unglaublich nützlich, wenn Authy nicht mehr funktionieren sollte.