A resposta é sim. Você está apontando para o alvo correto, mas falta algumas peças:
Usando ChallengeResponseAuthentication
, você pode definir mais métodos de autenticação, mas para garantir que eles sejam solicitados ao usuário, é necessário especificar a lista deles em AuthenticationMethods
, por exemplo, como este em sshd_config
(fazer pam duas vezes é apenas um exemplo para tentar como funciona):
ChallengeResponseAuthentication yes
AuthenticationMethods keyboard-interactive:pam,keyboard-interactive:pam
Mas, para observar, você pode fazer o mesmo somente no PAM adicionando método adicional em /etc/pam.d/sshd
.
Como nota de rodapé, sim. Provavelmente, a maioria das ssh scans normais falham. Mas ataques de força bruta, se forem direcionados, podem adivinhar uma ou duas senhas. Não importa. Mas todos eles ainda vão perder o tempo do seu computador. E você ainda precisa de senhas strongs, se não quiser desabilitá-las (o que deve ser preferido).