home » search tags
Die Suche tag = ssh ergab 1 Treffer:

April
5
Das PAM google-authenticator bietet die Möglichkeit z.B. seinen SSHd mittels TOTP zu schützen. Die Einrichtung ist relativ trivial.

Installation

Zuerst muss man sich die passenden sourcen von der Projektseite besorgen und anschließend entpacken

tar xfj libpam-google-authenticator-1.0-source.tar.bz2



um beim kompilieren das passende PAM zu erstellen, muss am Anfang der Datei Makefile folgendes hinzugefügt werden

LDFLAGS="-lpam"



Das übersetzen und installieren übernimmt

make && make install



Nun sollte die Datei /usr/local/bin/google-authenticator vorhanden sein.

Für jeden Benutzer der sich via google-authenticator am System authentifizieren soll, muss google-authenticator ausgeführt und die erscheinenden Fragen (im Normalfall sollte 'y' die passende Antwort sein) beantworten

  Do you want authentication tokens to be time-based (y/n) y
https://www.google.com/chart?....
Your new secret key is: CVQLXXXXXXX
Your verification code is 72XXX
Your emergency scratch codes are:
153XXXXX
239XXXXX
698XXXXX
232XXXXX
359XXXXX

Do you want me to update your "/home/user/.google_authenticator" file (y/n) y

Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y

By default, tokens are good for 30 seconds and in order to compensate for
possible time-skew between the client and the server, we allow an extra
token before and after the current time. If you experience problems with poor
time synchronization, you can increase the window from its default
size of 1:30min to about 4min. Do you want to do so (y/n) y

If the computer that you are logging into isn't hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting (y/n) y



Die angezeigte URL (https://www.google.de/....) muss nun im Browser geöffnet und der gezeigte QR-Code mit der passenden App gescannt werden.

PAM aktivieren

Durch hinzufügen von auth required pam_google_authenticator.so in /etc/pam.d/sshd wird das passende PAM für den SSHd bereitgestellt.

Das eigentliche aktivieren geschieht in /etc/ssh/sshd_config durch den Parameter ChallengeResponseAuthentication yes.

Abschließend muss nur der SSHd neugestartet werden.