SIGN IN YOUR ACCOUNT TO HAVE ACCESS TO DIFFERENT FEATURES

PASSWORT VERGESSEN!

LOGIN-DATEN VERGESSEN?

AAH, WARTET, ICH ERINNERE MICH WIEDER!

OneSystems

OneSystems

System Management aus der Schweiz

OneSystems
Untere Grundgasse 3, 9500 Wil, Schweiz

Open in Google Maps
Haben Sie Fragen? Senden Sie uns doch eine Nachricht
  • LOGIN
  • No products in cart.
  • Home
  • Dienstleistungen
    • E-Mail
      • b1gMail / b1gMailServer
      • b1gMail Plugins
    • Webdesign
  • Blog
  • Hilfe & Support
  • Mein Konto
  • Kontakt
  • Home
  • Blog
  • Linux
  • Debian
  • SSH mit 2-Faktor-Authentifizierung durch Google Authenticator
31. März 2023

SSH mit 2-Faktor-Authentifizierung durch Google Authenticator

SSH mit 2-Faktor-Authentifizierung durch Google Authenticator

von Michael Kleger / Donnerstag, 27 Februar 2014 / Veröffentlicht in Debian, Tipps und Tricks

Mit dem Google Authenticator ist es möglich, der SSH-Einwahl eine zusätzliche Sicherheitsebene hinzuzufügen. Man muss also nicht nur den entsprechenden Benutzer und das Passwort kennen, sondern noch im Besitz eines Gerätes sein – in diesem Fall dem Smartphone.

Hinweise vorab
Die sogenannte “Challenge Response Authentication” die hier verwendet wird, funktioniert im Moment nur in Kombination mit Passwörtern – nicht mit Private Keys.
Die SSH-Einwahl mit der Kombination Google Authenticator + Private Key funktioniert also leider nicht. Das soll wohl erst mit OpenSSH 6.2 möglich sein (habe ich in einem Foren-Beitrag auf code.google.com gelesen).

Smartphone vorbereiten
Für unser Smartphone brauchen wir die App “Google Authenticator”.

Server konfigurieren
Paket zur Erzeugung der QR-Codes installieren:

apt-get install libqrencode3

Das Google Authenticator-Paket für Debian herunterladen. Das gibt es hier:

http://ftp.us.debian.org/debian/pool/main/g/google-authenticator/

Für 64-Bit wäre das also:

wget http://ftp.us.debian.org/debian/pool/main/g/google-authenticator/libpam-google-authenticator_20110413.68230188bdc7-1.1_amd64.deb

…und für die 32-Bit Variante:

wget http://ftp.us.debian.org/debian/pool/main/g/google-authenticator/libpam-google-authenticator_20110413.68230188bdc7-1.1_i386.deb

Google Authenticator installieren:

dpkg -i libpam-google-authenticator_20110413.68230188bdc7-1.1_i386.deb

Nun muss der Google Authenticator auf dem Server eingerichtet werden. Das muss unter dem Account geschehen, mit dem man sich später per SSH einloggen will.

google-authenticator

Nun erhält man einen QR-Code sowie einige Scratch Codes Die Abfragen müssen dann noch entsprechend beantwortet werden. Den Barcode scannt man nun mit dem Smartphone ab, danach landet ein neuer Eintrag in der Google Authenticator-App.

Was für eine Funktion haben die Scratch Codes?
Die Scratch-Codes sind Einmal-Kennwörter die man immer dann verwenden kann, wenn das Smartphone kaputt geht oder man es gerade nicht dabei hat. Sind alle Einmal-Kennwörter verbraucht, kann man sich z.B. wieder eine neue Authenticator-Datei erstellen lassen.
So, weiter geht’s… nun bearbeitet man die Datei /etc/pam.d/sshd und fügt folgende Zeile ein:

auth required pam_google_authenticator.so

Jetzt muss noch die SSH-Konfiguration bearbeitet werden:

vim /etc/ssh/sshd_config

…und die Challenge Response Authentifizierung sowie PAM aktiviert werden:

ChallengeResponseAuthentication yes
UsePAM yes

Am Schluss muss noch der SSH-Dienst neugestartet werden:

/etc/init.d/ssh restart

SSH-Einwahl testen
Beim nächsten Einloggen per SSH wird nun nicht mehr nur nach dem Passwort gefragt, sondern auch nach dem Validation Code. Diese erhält man, indem man am Smartphone einfach die entsprechende App startet.

Ähnliche Beiträge

  • Tweet
Tags SSH

About Michael Kleger

What you can read next

VMs mit Microsoft / Vendor ROK Key installieren
TwoMail, Ihr Büro…
Check_MK Conference #3 vom 2.-4.5.2017

Schreibe einen Kommentar Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Letzten Beiträge

  • E-Mails Archivieren

    Eines der besten Programme um geschäftliche E-M...
  • Windows Updates Fehler 0x8024500c

    Es gibt verschiedenste Gründe, warum der Fehler...
  • VMware ESXi updaten

    Auch ein ESXi Server, der von sich aus schon se...
  • VMware vCenter vCLS „The task was canceled by a user.“

    Nach einem vCenter oder ESXi Update kann es vor...
  • Eigene Cloud mit einem Raspberry Pi und Nextcloud (Teil 4)

    Damit die Cloud Best möglichst abgesichert ist ...

Neueste Kommentare

  • LVM, Linux Festplatte vergrößern | Gumpert IT Wiki bei LVM Festplatte vergrössern ohne neue Partition
  • Detlef bei Remote Desktop mit Linux Mint 19
  • Michael Kleger bei Remote Desktop mit Linux Mint 19
  • Detlef bei Remote Desktop mit Linux Mint 19
  • Michael Kleger bei WordPress mit Fail2Ban absichern

Kategorien

  • b1gMail
  • CentOS
  • Debian
  • Linux
  • Mac OSX
  • Microsoft Exchange
  • Microsoft Outlook
  • Mint
  • Monitoring
  • Neuigkeiten
  • Nextcloud
  • PowerShell
  • Python
  • Raspberry Pi
  • Sicherheit
  • Tipps und Tricks
  • VMware
  • Webseiten
  • Webserver
  • Windows

Der IT-Dienstleister OneSystems mit Sitz in Wil versteht sich als Full-Service-Dienstleister für die Umsetzung und Betreuung von IT-Infrastrukturen, Internetseiten und individueller Programmierung. Wir betreuen Kunden aus der ganzen Schweiz, Deutschland und Österreich.

Wir legen grossen Wert auf eine technisch einwandfreie Umsetzung nach aktuellen Standards bei nachhaltiger Qualität.

Letzten Blog Posts

  • E-Mails Archivieren

  • Windows Updates Fehler 0x8024500c

  • VMware ESXi updaten

Kontakt

Email: info@onesystems.ch

OneSystems
Untere Grundgasse 3
9500 Wil
Schweiz

Copyright © 2023 OneSystems, Alle Rechte vorbehalten.
Impressum | AGBs | Kontakt

OBEN
 

Lade Kommentare …