为每个用户在下一个SSH登录上强制2FA配置

Question

我已经找到了许多关于如何启用2FA (TOTP，RFC 6238)的教程，但是是否也有方法强制SSH用户在第一次登录时配置它？(我使用的是OpenSSH服务器)

我想我可以创建一个脚本，它每次运行一次，检查特定用户的.google_authenticator是否存在，如果不存在，则运行google-authenticator，直到它运行，然后编辑/etc/pam.d/sshd (嗯-噢)，否则运行默认的shell/命令…。但是，可能有许多不可预见的边缘情况和破坏SSH登录的可能性。

所以，在我可能重新发明轮子之前，随便的去做，一个现有的解决方案已经存在了吗？

我会认为是这样的，因为这是面向用户的软件的规范，例如Gitlab和Gsuite，您可以强制用户在下次登录时配置2FA。

Answer 1

我不确定是否有人已经为一般目的编写了脚本，因为这些东西有时是特定于需求的。

我可以建议的是使用env文件(.bashrc、.bash_profile等)来修改ssh/2afetc文件。

剧本的解剖如下：

if <check 2fa file setup exists>
    # execute this if found
    # or continue
else
    # setup 2FA and exit for next login.