2FA登录ubuntu 16.04 LTS

Question

我正在尝试在我的ubuntu计算机上实现2FA登录，以提高安全性以及加密的主文件夹。我选择使用google身份验证器pam模块，因为这也可以脱机工作。我已经按照google的GitHub存储库https://github.com/google/google-authenticator/blob/f2db05c52884e4d6c3894f5fd2cf10f0f686aec2/libpam/README.md上的文档进行了操作，但在我看来，您可以轻松绕过MFA：

• 设置保存在.google_authenticator文件
中
• 设置文件包含您可以用来将帐户添加到Google身份验证器应用以接收OTP令牌的密钥
• .google_authenticator文件必须位于加密文件夹之外，否则您将无法登录
• 因此，如果您直接启动到root shell（恢复）。您可以从文件中获取密钥，从而绕过第二个因素。

因此我有以下问题：

• 我在google authenticator设置中遗漏了什么？
• 有没有其他解决方案可以离线工作，不能轻易绕过？

Answer 1

  

因此，如果您直接启动到root shell（恢复）

这是有原因的，原因如上所述 - ＆gt;复苏。 因此，除了2FA的范围之外，您不会遗漏任何内容：是的，如果您可以直接访问服务器，它可以被绕过，但它可以完全保证远程访问（SSH）。不幸的是，没有办法不允许这样做。