Authenticatorを使ってLinuxのログイン(PAM)で二段階認証を試す
の記事がとても分かりやすかったです。

ブラウザからのGoogleログイン時に設定していたので、
内容は知っていましたが、Linuxのログイン時にも適用できるんですね。

Linuxのログイン時に使用するには、
サーバ側で　google-authenticator　をインストール＆設定する。
Linuxのログイン画面？でワンタイムキーを生成するURLをQRコードで表示する。

クライアント側は現状 WindowsPhone を除くスマートフォン限定でした。
Google 認証システムのインストール　を参考に対応しているスマートフォンにアプリケーションをインストールし、
その後、QRコードを読み取ることでワンタイムキーが得られると。

ログイン時にいちいちワンタイムキーの確認・入力が必要になるので面倒ですが、
IP制限よりもセキュリティが高くて利用対象を絞れる点が良いですね。