通过使用Google的登陆二步验证（即Google Authenticator服务），我们在登陆时需要输入额外由手机客户端生成的一次性密码。这将大大提高登陆的安全性。

实现Google Authenticator功能需要服务器端和客户端的支持。服务器端负责密钥的生成、验证一次性密码是否正确。客户端记录密钥后生成一次性密码。

ssh配置二次验证

注意：如果需要为非root用户设置二次验证，需要先以普通用户的身份登陆，然后再通过su切换为root用户进行操作。

安装：

$sudo apt-get install libpam-google-authenticator

配置SSH：

$vim /etc/pam.d/sshd
# 添加下面一行
auth required pam_google_authenticator.so

$vim /etc/ssh/sshd_config
# 修改ChallengeResponseAuthentication 为 yes
ChallengeResponseAuthentication yes

 配置google-authenticator：

$google-authenticator
Do you want authentication tokens to be time-based (y/n) y
https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/root@kali%3Fsecret%3DWKHM6UVJNTPYSPTQ
Your new secret key is: WKHM6UVJNTPYSPTQ
Your verification code is 434260
Your emergency scratch codes are:
  30287010
  70585905
  68748337
  15176712
  38041521
Do you want me to update your "/home/USERNAME/.google_authenticator" file (y/n) y
....

重启SSH服务：

$sudo /etc/init.d/ssh restart

最后就是在手机安装google authenticator客户端，搞定！

参考：

https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-two-factor-authentication
https://www.linux.com/community/blogs/133-general-linux/783135-securing-ssh-with-two-factor-authentication-using-google-authenticator