Eu tenho um servidor virtual Ubuntu que eu uso para webhosting e outras coisas. Estive pensando em transferir e-mails para ele, mas gostaria de protegê-lo mais contra a ameaça de perder meu smartphone. O Google possui sistemas de verificação em duas etapas que permitem que os dispositivos tenham sua própria senha.
Existe uma forma UNIX-y padrão de permitir que uma conta tenha várias credenciais, para que eu possa revogá-la mais tarde sem revogar todas elas?
Com o PAM tudo é possível. É por isso que "P" significa pluggable. Você pode usar autenticação multifator, senhas únicas, scanners da íris e o que quiser (e para o que existe um plug-in).
Um dos plug-ins é o Google Authenticator para autenticação de dois fatores. Veja este post para instruções e código-fonte: link
Is there a standard UNIX-y way of allowing one account to have multiple credentials, so that I can revoke one later without revoking all of them?
Dependendo de como você acessa seu sistema (e usa essas contas), você pode fazer isso facilmente com SSH e autenticação baseada em chave.
As credenciais válidas (chaves públicas) são armazenadas em ~/.ssh/authorized_keys ou ~/.ssh/authorized_keys2 . Se um usuário não puder mais acessar a conta de usuário relacionada, basta remover a chave de authorized_keys .