ssh 使用google authenticator 作为二次认证

google 实现TOTP(基于时间认证)原理
1.用户需要开启Google Authenticator服务时，服务器随机生成一个类似于
『DPI45HKISEXU6HG7』的密钥，并且把这个密钥保存在.google_authenticator中。
2.客户端扫描二维码，把密钥『DPI45HKISEXU6HG7』保存在客户端，同
时客户端也可以手动输入密钥，生成验证码

如何认证
1.客户端每30秒使用密钥『DPI45HKISEXU6HG7』和时间戳通过一种『算法』
生成一个6位数字的一次性密码，如『684060』
2.用户登陆时输入一次性密码『684060』
3.服务器端使用保存在.google_authenticator中的密钥『DPI45HKISEXU6HG7』
和时间戳通过同一种『算法』生成一个6位数字的一次性密码。大家都懂控制
变量法，如果算法相同、密钥相同，又是同一个时间（时间戳相同），那么客
户端和服务器计算出的一次性密码是一样的。服务器验证时如果一样，就登录
成功了

安装(centos7)
1.install
a.增加epel repo

yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

           #  yum install google-authenticator
        b.修改ssh配置,vim /etc/ssh/sshd_config 修改如下
                #ChallengeResponseAuthentication yes   ###允许交互
                #AuthenticationMethods publickey,password publickey,keyboard-interactive     #增加认证方法，默认只有密码认证才需要输入验证码，增加之后，有公钥也需要输入验证码
                #重启服务 systemctl restart sshd
         c.在认证文件/etc/pam.d/sshd增加如下内容
             #auth       required      pam_google_authenticator.so nullok   #auth  substack password-auth 放于前后取决于先输入验证码还是先输入密码
          d.生成认证文件
                #google-authenticator -t -d -f -r 3 -R 30 -W  #生成文件在当前家目录的.google_authenticato，同时也会弹出生成的条形码及5次紧急验证码，5次验证码使用一次少一次
                #用cat .google_authenticator 打开文件后，其实内容很简单，第一行是认证生成的密钥，包括认证方法，时间等参数
                #也可以一步一步生成，参考文档：https://shenyu.me/2016/09/05/centos-google-authenticator.html

面临的问题

1. 如果认证文件都每个用户的加目录下，如果用户删除文件.google_authenticator之后怎么办？难道写监控脚本定期check文件是否存在及文件有无被修改，对于这个问题，可以将认证文件放在统一放置，并且只能root用户可以访问及修改，权限为400
   • 在/etc/pam.d/sshd 中，认证信息后面添加

     auth required pam_google_authenticator.so user=root secret=/data/google_authenticator/${USER}

     #指定用户去读取认证文件及认证文件的路径