Como configurar a autenticação de dois fatores com o OTP no FreeBSD?

Eu tenho um servidor hospedado no FreeBSD que eu gosto de poder acessar de qualquer lugar. Normalmente eu uso a chave pública SSH para efetuar login ou, se não tiver minha chave privada SSH disponível, talvez eu use uma senha regular sobre SSH. No entanto, ao fazer login em uma máquina não confiável, há sempre o risco de um keylogger capturar minha senha enquanto eu a digito.

O FreeBSD já possui suporte para o OPIE, que é um esquema de senha única. Isso funciona muito bem, mas a senha descartável é a única autenticação necessária. Se eu imprimir uma lista de senhas descartáveis ​​para usar mais tarde, se eu perder essa lista, é tudo o que alguém precisa.

Gostaria de configurar a autenticação para que eu precise de uma senha de uso único e algo que eu saiba (uma senha, exceto a minha senha de login habitual). Sinto que a resposta tem algo a ver com o PAM (e /etc/pam.d/sshd), mas não tenho certeza dos detalhes.

Como posso configurar a autenticação onde dois métodos são necessários?

Como você deseja usar uma senha diferente da sua conta normal, tente security/pam_pwdfilena árvore de portas.
Basicamente, ele permite que você use um arquivo alternativo (formato username:crypted_password:) para autenticação.
Para usá-lo, coloque a seguinte linha /etc/pam.d/sshd antes da linha de pam_opie:

auth    required    /usr/local/lib/pam_pwdfile.so    pwdfile    /path/to/pwd/file

A Duo Security (nossa empresa) oferece um pacote de código aberto que suporta autenticação OTP, retorno de chamada telefônica, SMS e push para smartphone para SSH com senhas, pubkey ou qualquer mecanismo de autenticação principal - com ou sem PAM:

http://blog.duosecurity.com/2011/04/announcing-duos-two-factor-authentication-for-unix/

Supondo que isso use pam, deve ser tão simples quanto colocar dois módulos necessários no /etc/pam.d/. Um para Opie e outro para sua outra autenticação. (digamos, senha normal do UNIX)

Considere usar o raio pam. Ele deve compilar no BSD. Todos os sistemas de autenticação de dois fatores com capacidade corporativa suportam raio. O raio é um padrão muito padrão, para que você obtenha grande flexibilidade.

HTH.