google-compute-engine - 使用 Google 计算引擎的 2 因素身份验证(2 步验证)

Question

是否有可能为 Google 计算引擎启用 2 因素身份验证(或 2 步验证 a-la Google 术语)？
我对保护我的虚拟机、云存储和开发者控制台很感兴趣。

我已经尝试使用 Google Authenticator (libapm) 引用这篇文章 Securing SSH with two factor authentication using Google Authenticator在虚拟机上，但没有成功(我设法使用 gcloud 计算 shell 登录，没有额外的代码)。

[1 月 12 日]
一些更新:
谷歌开发者控制台完美运行。谢谢。

为了使用计算引擎 SSH 访问进行两步验证，我重新尝试了所有操作。按照提供的链接中提到的说明进行操作，并执行以下操作:

我创建了一个新的 Google-Cloud 项目。

我使用了 2 个不同的操作系统实例 - Debian 8.2 和 Ubuntu 15.10。

所有这些测试都失败了 - 没有提示输入验证码。
我在谷歌计算引擎文档中环顾四周，他们明确提到他们只支持证书身份验证(而不是用户名/密码)，所以我无法验证这是否是根本原因。

有没有人在 Google 计算引擎中使用两步验证？

谢谢

Answer 1

最后 - 一个解决方案(感谢谷歌云支持)。

我提到的文档顶部的一些更新:

除了添加一行到 /etc/pam.d/sshd ，还应该注释掉@include common-auth 行。所以它应该是这样的:

auth       required     pam_google_authenticator.so # from the original instructions
# @include common-auth # commenting out is new...

除了更改 中的 ChallengeResponseAuthentication 属性之外/etc/ssh/sshd_config ，还应该在以下行中添加 AuthenticationMethods publickey,keyboard-interactive :

ChallengeResponseAuthentication yes # from the original instructions
AuthenticationMethods publickey,keyboard-interactive # this is new... 

当然，这是在安装 libpam-google-authenticator、更改 sshd 和 sshd_config(如上所述)、重新启动 ssh/sshd 服务以及为帐户设置 google-authenticator 的常规说明之上。

最后再补充几点:

仔细考虑这一点 - 从重新启动 ssh/sshd 帐户，没有正确的 2FA 任何人都无法登录。因此，请确保应该具有 ssh 访问权限的任何人都正确配置了它。

我正在考虑这对我们来说是否是合适的解决方案，因为它需要设置 VM(分别为每个 VM)，并手动为每个帐户和每个 VM 手动设置验证器。不确定这种替代方案的可扩展性如何。我很感激你的想法...

最后但并非最不重要的 - 可以使用 apt-get 简化 libpam-google-authenticator 的设置，无需手动安装所有依赖项并构建它。通过运行为我工作:

sudo apt-get install libpam-google-authenticator

祝你好运!