求ssh两步验证方案

我们就是这样子的。。验证码发邮件和短信。。不过不知道sa是怎么做到的

把用户的shell改成验证程序？ssh连入后，先进验证程序，验证后由验证程序启动bash。
不知可行不

@jyhmijack 我在网上居然搜不到类似的方案，难道是各家心照不宣的黑技术？。。

google了一下 http://ben.akrin.com/?p=1068
2-factor authentication & writing PAM modules for Ubuntu

@lfzyx 觉得应该不是什么很难实现的东西吧。。。应该很好做。。。

@kennedy32 哈哈，我也是找到了这个

@lfzyx 这个不就是email方案么?应该还可以实现sms方案

我是这样做的：
机器上只开放9019端口（用iptables做）
启动nginx服务，监听9019端口。先经过http auth。
server {
listen 9010 default;
return 401;
}
server {
listen 9010;
server_name myentry.xxx.xxx.cn;
access_log /logs/access.log;
error_log /logs/error.log;
root /webdir;
location / {
auth_basic "Restricted";
auth_basic_user_file /tmp/aaa;
}

}

再到一个php界面，再做一次密码认证，成功后将用户的ip写到一个数据库。
这里可以再用php做一个邮箱账号的认证，比如用户输入了xxx，php将一个code发到所对应的 yyy@qq.com ，让用户输入 yyy@qq.com 里面的code，才完成验证。



后台程序每隔一定时间从数据库里面取出ip，用iptables添加该ip到ssh允许的端口。

后台程序每隔一小时再将这个ip从iptables中去除掉

有钱的话直接上 token,（网银用的那种 token)

phonegap 写一个手机端的令牌App

然后服务器上也部署一个算号、验证逻辑

SSH登录执行个脚本，让输入用户名跟令牌

如果不对了，就kill掉脚本的父进程（bash）

用pam模块，但是发邮件太慢了吧，等到收到邮件，token都过期了，用Google Authenticator就可以了，现在智能机那么普及了

可能理解的不太对，你两次验证的目的是证明登录人是合法的？

如果这样的话，用kerberos。

改造libpam-google-authenticator ？
https://code.google.com/p/google-authenticator/source/browse/#git%2Flibpam

对 openssh 做 patch，我做过了，为的是 git 认证，难度不大的