SSH登錄時選擇第二個因素

是否可以設置多個 2FA pam 並讓使用者選擇在登錄時使用哪個？

我有google-authenticator設置。我已經成功地使用了我的 yubiko 密鑰作為第二個因素。我想選擇在登錄時使用哪個，這樣我就可以選擇更方便的方法，或者使用一種作為備份方法。

據我所知，沒有標準/方法允許使用者在登錄期間從命令行提示符選擇他們想要使用哪個 MFA 登錄。（但您始終可以編寫自己的 PAM 模組來執行此操作……#CurrentTeam 做了但沒有將其發佈到公共領域。）

對於最終使用者來說不是最透明的，但是您可以使用庫存工具做的事情是使用PAM 連結來配置回退方法。

將 Yubico PAM 模組設置為sufficient，當您通過有效的一次性密碼 (OTP) 時，您將被授予訪問權限。

當您輸入的內容未驗證為正確的 Yubikey OTP 時，身份驗證將通過下一個允許的方法，即 Google-Authenticator PAM 模組。

該 PAM 模組應設置為required.

如果您在未能輸入有效的 Yubibey OTP 後輸入有效的 Google 身份驗證器程式碼，您將被授予訪問權限，否則，您的身份驗證將被拒絕。

這應該有點類似於添加以下內容：

auth sufficient pam_yubico.so id=16 debug authfile=/path/to/mapping/file
auth required pam_google_authenticator.so

引用自：https://serverfault.com/questions/964680