Eine Zwei-Faktor-Authentifizierung für den Login an einem Linux-Desktop lässt sich mit dem Google Authenticator ziemlich einfach einrichten.
Dazu kann unter Fedora das Paket google-authenticator installiert werden.
dnf install google-authenticator
Nach der Installation muss der Google Authenticator als der Benutzer ausgeführt werden, bei welchem die Zwei-Faktor-Authentifizierung verwendet werden soll.
google-authenticator
Hier wird dann ein QR-Code angezeigt, welcher mit einer App auf dem Smartphone eingescannt wird. Als App ist hier Authy zu empfehlen. Zudem werden die Recovery-Codes ausgegeben. Diese sollten sicher aufbewahrt werden um noch Zugriff auf das System zu haben, wenn das Smartphone verloren geht.
lightdm/gdm
Damit beim Login der Zweite Faktor abgefragt wird ist in der /etc/pam.d/lightdm bzw. /etc/pam.d/gdm-password folgender Eintrag einzufügen .
auth required pam_google_authenticator.so
Beim nächsten Login wird dann nach der Eingabe des Passworts beim Loginscreen nach dem Verification code gefragt.
ssh
Um bei ssh einen Zweiten Faktor einzurichten, muss in der /etc/pam.d/sshd auch der Google Authenticator eingetragen werden.
auth required pam_google_authenticator.so
Zudem ist in der /etc/ssh/sshd_config noch die Option
ChallengeResponseAuthentication yes
von no auf yes zu ändern. Zum Schluss noch den sshd neu starten und man wird auch beim Login über ssh nach einem Verification code gefragt.