security - ubuntu 16.04 LTS 上的 2FA 登录

Question

我正在尝试在我的 ubuntu 机器上实现 2FA 登录以提高安全性以及加密的主文件夹。我选择使用谷歌验证器 pam 模块，因为它也可以离线工作。我已经关注了谷歌 GitHub 存储库上的文档 https://github.com/google/google-authenticator/blob/f2db05c52884e4d6c3894f5fd2cf10f0f686aec2/libpam/README.md但在我看来，您可以轻松地绕过 MFA:

设置保存在 .google_authenticator 文件中

设置文件包含您的 key ，您可以使用该 key 将帐户添加到 google 身份验证器应用程序以接收 OTP token

.google_authenticator 文件必须位于您的加密文件夹之外，否则您将无法登录

因此，如果您直接启动到 root shell(恢复)。您可以从文件中获取 key ，从而绕过第二个因素。

因此，我有以下问题:

我在谷歌身份验证器设置中遗漏了什么吗？

是否有任何其他解决方案可以离线工作并且不能轻易绕过？

Answer 1

therefore if you boot directly into a root shell (recovery)

这是有原因的，原因正如你上面提到的->恢复。
因此，除了 2FA 的范围之外，您不会错过任何东西:是的，如果您可以直接访问服务器，则可以绕过它，但它可以很好地保护远程访问 (SSH)。不幸的是，没有办法禁止这种情况。