Duo Security 的开源duo_unix项目演示了如何使用 PAM 和 sshd（以及 Duo 的双因素服务）来做到这一点。免责声明，我是 Duo 工程师。

我相信当前的身份验证都是在 Linux-PAM 中完成的。手册页有一些关于它如何工作的细节。您需要做的是找到两个要插入的身份验证模块，然后配置 PAM 以链接它们。话虽如此，我不确定这是否可能，但这是一个很好的起点。

祝你好运

大多数一次性密码系统都支持半径，所以 pam-radius 是要走的路。有关很多内容，请参见 kernel.org/pub/linux/libs/pam/。

高温下，

缺口

您还想为此编辑 /etc/pam.d/login 。有一个基于 USB/密钥的解决方案，但我不记得它是什么。小心 - 因为更改登录可能意味着 - 没有登录。;)。保持 SSH 连接打开，以便您可以撤销更改。保留原件的副本。另外 - 请记住，您也需要锁定 SSH。