リモートログインの認証にパスコードジェネレーターを使用するにはどうすればよいですか？

これを行う1つの方法は、Googleが提供する Google Authenticator というツールを使用することです。

1. インストール libpam-google-authenticator

   • または単にSudo apt-get install libpam-google-authenticator

2. /etc/pam.d/sshdを編集してモジュールを含めます：

   • sudoedit /etc/pam.d/sshd

   • そして、ファイルのtopにこの行を含め、保存します：

     auth required pam_google_authenticator.so
     

3. SSH構成ファイルを編集して、チャレンジをオンにします。

   • sudoedit /etc/ssh/sshd_configを選択し、応答認証を次から変更します。

     ChallengeResponseAuthentication no 
     

     に

     ChallengeResponseAuthentication yes
     

     そして、ファイルを保存します。

4. Sudo restart sshはSSHを再起動します

5. google-authenticatorを実行します

   • これにより、秘密鍵、検証コード、緊急スクラッチコードが提供されます。また、レート制限に関する質問もあります。

モバイルアプリケーション：

別のデバイスで認証コードを受信するには、これらのいずれかが必要です。

• Androidアプリ
• iPhoneアプリ

関連および有用：

• この回答の大部分は this blogpost Jean-Francois Therouxによるものですが、更新されています。
• Google Authenticator Wiki
• http://guides.webbynode.com/articles/security/ubuntu-google-authenticator.html
• http://www.mnxsolutions.com/security/two-factor-ssh-with-google-authenticator.html
• どちらかしかできないSSHキー経由のパスワードなしログインを使用している場合は、次の質問を参照してください： パスワードなしSSHログインを設定するにはどうすればよいですか？
• また、Puppetを使用している場合は、ここにパペットモジュールがあります。 https://github.com/camptocamp/puppet-googleauthenticator
• Pam configの先頭に.so行を追加する必要がある理由については、Maartenの回答とgithubの問題へのリンクを参照してください。 https://askubuntu.com/a/668398

パスワードと使い捨てのパスコードを組み合わせることは、2要素認証であることに注意してください。「知っていること」（パスワード）と「持っているもの」（パスコード生成デバイス）を組み合わせます。一方、使い捨てのパスコードとSSHキーペアを組み合わせた場合、それはすべて「持っているもの」になります。 2つの認証要素が同じタイプの場合、2要素認証はありません。これは「1.5因子認証」と呼ばれることもあります。