[Comm] TOTP 2FA - кто-то использует?

[Алексей В. Мезин]

Был у меня сервер чуть ли не с p8, который в итоге дообновлялся, 
кажется, до p10. И когда-то давно я запустил на нем двухфакторную 
аутентификацию на одноразовых паролях на основе текущего времени из 
google-autheticator. С настройками проблем не возникло, главное было 
вписать в /etc/pam.d/sshd строку

auth required pam_google_autheticator.so

и при логине по ssh начинало спрашивать не только пароль, но и 
"verification code".


Однако, что-то в этой механике сломалось, и в p11 больше не работает (в 
centos 9 тоже не работает). "Управление" в нужный момент передается 
pam_google_authenticator, но на экране запроса на ввод кода не 
появляется, а в логах ругань, что этот модуль трижды не получил нужного 
кода.

Поэтому вопрос: это я не умею этот pam+ssh готовить, и как-то можно 
настроить гугловскую библиотеку?

Еще вопрос: кто-то использует какие-то альтернативы? И нет ли у нас 
какой-то стандартной ручки для настройки? Потому что описание oath  - 
какое-то лютое ручное прилепливание пятой ноги к собаке. Хотя, казалось 
бы, тема очень важная, и должно быть все системно и дистрибутивно.