一、双因素认证核心原理

双因素认证(2FA)通过结合两种不同验证要素提升安全性：

• 知识因素：用户密码或PIN码
• 物理因素：手机验证码/硬件令牌

典型实现方案包括基于时间的动态口令(TOTP)和基于HMAC的动态口令(HOTP)，其中Google Authenticator等工具采用TOTP算法生成30秒有效验证码。

二、服务端环境配置

1. 安装PAM模块：sudo yum install google-authenticator（CentOS）或sudo apt install libpam-google-authenticator（Ubuntu）
2. 同步服务器时钟：ntpdate pool.ntp.org确保时间误差不超过30秒
3. 开启SSH配置参数：

   ChallengeResponseAuthentication yes
   UsePAM yes

三、SSH认证集成

修改PAM配置文件/etc/pam.d/sshd添加：

auth required pam_google_authenticator.so

重启SSH服务：systemctl restart sshd使配置生效

四、用户端配置流程

1. 执行google-authenticator生成密钥和恢复码
2. 使用手机APP扫描终端显示的二维码
3. 测试登录流程：需同时输入密码和动态验证码

五、安全最佳实践

• 为管理员账户强制启用2FA
• 备份恢复码并存储于加密介质
• 定期轮换认证密钥（建议每90天）