Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

2-Faktor Authentifizierung für SSH

Registriert
16. Januar 2012
Beiträge
5.310
Reaktionspunkte
6.045
Punkte
373
Ort
127.0.0.1
Halli Hallo,

hier mal ein kleines How-To für eine 2-Faktor Authentifizierung für euren SSH-Login z.B. mit Putty.
Dies erhöht die Sicherheit als eine blose Passwortabfrage beim Login, verhindert Man-in-the-Middle-Angriffe und hat den Vorteil gegenüber der SSH-Keys das man sich von jedem Computer aus einloggen kann und man nur sein Handy brauch.
Die Anleitung ist für alle Debian-basierten OS geeignet.

Wie funktionierts?

Mit Hilfe eures Smartphones bekommt ihr mittels einer App einen sich ständig ändernden Code den ihr zusätzlich zu eurem gewöhnlichen Passwort eingeben muss.
Die Abfrage bei Putty sieht dann folgendermaßen aus:

Code:
login as: --> Username
Verification code: --> 6-stelliger Zahlencode als zusätzliche Abfrage
Password: --> dein gewöhnliches Passwort

Wie wirds eingerichtet?

Bei folgender Anleitung wird davon ausgegangen, dass ihr an eurem Server als root eingelogt seid.

1. Wir installieren zunächst den "Google Authenticator" auf dem Smartphone. Die App gibt es für Android, Apple und Blackberry.

2. Es ist wichtig, dass die Uhr auf dem Server und dem Handy richtig gehen!
Das Handy bezieht seine Uhrzeit aus dem Netz des Providers und für den Server richten wir dafür die wöchentliche Uhrzeit-Synchronisation mit einem ntp-Server ein.

Dazu installieren wir zunächst das passende Paket...
Code:
aptitude install ntpdate

... führen die Synchronisation einmal von Hand aus...
Code:
ntpdate -u de.pool.ntp.org

und tragen dann den Job ganz unten in den Crontab ein, damit die Uhrzeit synchronisiert wird:
Code:
crontab -e

Code:
30 2 */1 * * ntpdate -s de.pool.ntp.org

Somit wird je Nacht (beginnent ab dem Tag, an dem der Job im Crontab gespeichert wurde) um 2.30 Uhr synchronisiert.

3. Um es uns gleich etwas einfacher zu machen installieren wir folgendes Paket, damit Putty uns 'nen QR-Code ausgeben kann.
Code:
aptitude install libqrencode3

4. Nun geht's ans Eingemachte. Wir wechseln zunächst in den tmp-Ordner.
Code:
cd /tmp

Nun unterscheiden sich die Befehle etwas je nachdem ob wir ein 32bit oder 64bit-System haben. Wir führen also die folgenden zei Befehle passend zum System aus:

64bit:
Code:
wget http://ftp.debian.org/debian/pool/main/g/google-authenticator/libpam-google-authenticator_20130529-2_amd64.deb
dpkg -i libpam-google-authenticator_20130529-2_amd64.deb

32bit:
Code:
wget http://ftp.debian.org/debian/pool/main/g/google-authenticator/libpam-google-authenticator_20130529-2_i386.deb
dpkg -i libpam-google-authenticator_20130529-2_i386.deb

5. Zur Einrichtung des google-authenticator auf dem Server starten wir diesen.
Code:
google-authenticator

Wir erhalten nun einen QR-Code und ein paar Notfall-Schlüssel:
Du musst angemeldet sein, um Bilder zu sehen.
Nun nehmen wir das Smartphone in die Hand, starten die App "Google Authenticator" und klicken im Menü auf "Konto einrichten".
Wir werden gefragt, ob wir einen QR-Code scannen oder einen Key eingeben wollen. Wir nehmen den QR-Code und scannen ihn aus Putty ab.
Das wars schon für's Smartphone. Wir müssten nun ein Bild sehen, das folgendem gleicht:

Du musst angemeldet sein, um Bilder zu sehen.
Wir sehen den Namen des Servers, den 6-stelligen Code (den wir zukünftig ebenfalls eingeben müssen) und eine kleine Stopuhr. Die Uhr läuft 30 Sekunden und anschließend ändert sich der Code wieder.

Zurück zu Putty, wir speichern die "emergency scratchs" (Erläuterung weiter unten). Den angezeigten Rest können wir vergessen, und die weiteren Fragen können und sollten mit JA/YES/Y beantwortet werden.

6. Nun folgen noch ein paar Einstellungen damit ssh weiß, was zu tun ist.

Wir bearbeiten folgende Datei:

Code:
nano /etc/pam.d/sshd

und fügen ganz oben einfach folgende Zeile hinzu:

Code:
auth required pam_google_authenticator.so

und dann bearbeiten wir noch diese Datei:

Code:
nano /etc/ssh/sshd_config

und ändern die Einstellung

Code:
ChallengeResponseAuthentication

von no auf yes

7. Wir starten noch den ssh-Dienst neu

Code:
service ssh restart

VORSICHT

Putty an dieser Stelle noch nicht beenden!!!
Erstmal testen wir ob alles funktioniert.

Dazu starten wir eine weitere Putty-Instanz und verbinden uns ganz normal zum Server.
Wir werfen einen Blick auf den Google-Authenticator und füllen den Login bei Putty nach bestem Wissen und Gewissen aus:

Code:
login as: --> Username
Verification code: --> 6-stelliger Zahlencode
Password: --> dein gewöhnliches Passwort

Hat alles funktioniert?
Dann Glückwunsch, dein Server ist nun gesichert.

Hat es nicht funktioniert?
Dann machen wir in der noch verbundenen Putty-Instanz den Punkt 6. rückgängig und starten erneut SSH neu.

8. Zum Thema emergency scratch

Diese kopierten Codes (kleiner Tipp: auf nem Zettel ausdrucken!) sind Notfall-Codes falls wir keinen Zugriff mehr aufs Telefon (Diebstahl, Beschädigung, etc) mit unserem Key-Generator haben. Denn dann können wir zur Verification statt des 6-stelligen Code vom Handy einen 8-stelligen Notfall-Code nehmen.

Diese Codes sind EINMAL-BENUTZBARE-CODES d.h. sie funktionieren nur ein einziges mal und sind dann ungültig.

Was ist also zu tun, wenn sie mal aus irgend einem Grund zur Neige gehen?
Dann fügen wir hier ganz unten einfach ein paar neue Einmal-Codes ein:

Code:
nano /root/.google_authenticator


Ich hoffe das kleine How-To hat euch gefallen.

Beste Grüße
Hunch
 
Zuletzt bearbeitet:
Zurück
Oben