Vorab das ganze ist natürlich völliger Unsinn, aber Spaß macht es trotzdem. Es sei zu beachten, dass zum einen ohne Internetverbindung ein einloggen nicht mehr möglich ist, wenn pam entsprechend fest gezurrt wurde und und zum Anderen ~/.google_authenticator ist diese Datei mehr als sensibel zu betrachten.

1 Die App für IOS oder Android aus dem entsprechenden Store organisieren.
google authenticator

2 Die Installation auf unserem System

3 Die Konfiguration

In dieser Datei füge ich nun die Anweisung ein, das Google Authenticator pam Modul zu verwenden

und zwar genau oberhalb der folgenden Zeile

kommt

4 Für jeden Benutzer muss nun die Authentifizierung einmal eingerichtet werden, ansonsten wäre das ganz schön doof…

Im Terminal einfach den folgenden Befehl eingeben, den Dialogen folgen.

Den ausgeworfenen Schlüssel müssen wir nun in der App eingeben unter dem Punkt “Neuen Account” erstellen. Jetzt habe ich für meinen Benutzer einen Account, aber was ist mit den andern Benutzern?

5 Für alle anderen Benutzer

Wenn alles geklappt hat, dann sollte mir der 6 Stelliger Code aus der App weiterhelfen, um das sudo Kommando erfolgreich abschließen zu können.

Und nun als “anderer” Benutzer führen ich wieder den Befehl google-authenticator aus.

6 Notfall

Da hilft und nur der Recovery Modus und hier kopiere ich die /etc/pam.d/common-auth.backup zurück und kann mich dann wieder “normal” anmelden.