Zwei-Faktor-SSH-Authentifizierung nur für externe Adresse

Ich habe einen Ubuntu-Server mit einer privaten, internen, IP- und einer öffentlich zugänglichen IP. Ich möchte die Zwei-Faktor-Authentifizierung für SSH nur auf der öffentlichen Seite einrichten. Ist das möglich? Ich hatte vor, Google Authenticator zu verwenden, bin aber auch offen für alternative Ideen.

Ja, das kannst du machen pam_access.so. Dieses Rezept wurde aus dem Wiki für den Google Authenticator übernommen :

Ein nützliches PAM-Rezept besteht darin, das Überspringen der Zwei-Faktor-Authentifizierung zu ermöglichen, wenn die Verbindung aus bestimmten Quellen stammt. Dies wird bereits von PAM unterstützt. Mit dem Modul pam_access kann beispielsweise die Quelle mit lokalen Subnetzen verglichen werden:

# skip one-time password if logging in from the local network
auth [success=1 default=ignore] pam_access.so accessfile=/etc/security/access-local.conf
auth       required     pam_google_authenticator.so

In diesem Fall sieht access-local.conf folgendermaßen aus:

# only allow from local IP range
+ : ALL : 10.0.0.0/24
+ : ALL : LOCAL
- : ALL : ALL

Anmeldeversuche ab 10.0.0.0/24 erfordern daher keine Zwei-Faktor-Authentifizierung.