我找到了许多关于如何启用 2FA(TOTP,RFC 6238)的教程,但是还有一种方法可以强制 SSH 用户在第一次登录时对其进行配置吗?(我正在使用 OpenSSH 服务器)
我想我可以创建一个每次运行的脚本并检查.google_authenticator特定用户的 a 是否存在,如果不存在,则运行google-authenticator直到它存在然后编辑/etc/pam.d/sshd(呃-哦),否则运行默认的 shell/命令......但可能有很多不可预见的边缘情况和破坏 SSH 登录的可能性。
因此,在我可能重新发明轮子并且随意地这样做之前,现有的解决方案是否已经存在?
我会假设它确实如此,因为它是面向用户的软件的规范,例如 Gitlab 和 Gsuite,您可以在其中强制用户在下次登录时配置 2FA。