Встановлюємо PAM-модуль google-authenticator-libpam:

git clone https://github.com/google/google-authenticator-libpam.git
cd google-authenticator-libpam
./bootstrap.sh
./configure
make
sudo make install

Запускаємо програму google-authenticator. Має згенеруватися QR-код або з’явитися посилання на нього, який необхідно відсканувати за допомогою програми для TOTP-автентифікації. На усі питання програми, крім питання про збільшення часового розходження між клієнтом і сервером, відповідати негативно.

Додаємо у файл /etc/pam.d/common-auth наступний рядок:

auth required pam_google_authenticator.so no_increment_hotp

Цей спосіб можна комбінувати з введенням паролю та іншими способами двофакторної автентифікації.