{"id":3680,"date":"2013-02-18T17:45:15","date_gmt":"2013-02-18T16:45:15","guid":{"rendered":"https:\/\/nodch.de\/?p=3680"},"modified":"2013-02-18T17:45:15","modified_gmt":"2013-02-18T16:45:15","slug":"howto-ubuntu-linux-ssh-server-mit-google-authenticator-otp-absichern","status":"publish","type":"post","link":"https:\/\/nodch.de\/?p=3680","title":{"rendered":"Howto: Ubuntu Linux SSH Server mit Google Authenticator OTP absichern"},"content":{"rendered":"<p>Sicherheit ist gerade in der vernetzten Welt das A und O. Gestattet man nun per SSH Zugriff auf den eigenen PC oder einen Server, so sollte man diesen Zugang zus\u00e4tzlich absichern, denn SSH verlockt gerne zum Bruteforce-Angriff.<\/p>\n<p>Wie man seinen SSH-Zugang sichern kann, haben ich bereits im Artikel\u00a0<a title=\"HowTo: Ubuntu Server SSH Zugang mit OTP absichern\" href=\"https:\/\/nodch.de\/howto-ubuntu-server-ssh-zugang-mit-otp-absichern\/1061\/\">HowTo: Ubuntu Server SSH Zugang mit OTP absichern<\/a>\u00a0beschrieben, diesen will ich zum Anlass nehmen um ein &#8222;Update&#8220; zu ver\u00f6ffentlichen, dass sich mit dem <a title=\"Google Authenticator Google Code Webseite\" href=\"https:\/\/code.google.com\/p\/google-authenticator\/\" target=\"_blank\">Google Authenticator<\/a> besch\u00e4ftigt. Google bietet nicht nur eine 2-Faktor Authentifizierung f\u00fcr die eigenen Dienste an, sondern auch als PAM Modul, welches man in alle Applikationen einbinden kann, die PAM Module unterst\u00fctzen.<\/p>\n<p>Die Google Authenticator App gibt es f\u00fcr Android, Blackberry OS und iOS, f\u00fcr Windows Phone stehen Drittanbieter-Apps zur Verf\u00fcgung, die mit Google Authenticator nutzbar sind.<\/p>\n<p>[appbox googleplay com.google.android.apps.authenticator2 screenshots]<\/p>\n<p>Die jeweilige App solltet ihr euch auf euer Endger\u00e4t installieren, bevor es an die Installation des PAM Modules und die Konfiguration des SSH Servers geht.<\/p>\n<h3>Installation des PAM Moduls:<\/h3>\n<ul>\n<li>Der Google Authenticator befindet sich in den Ubuntu Quellen:\u00a0<code>sudo apt-get install libpam-google-authenticator<\/code><\/li>\n<li>F\u00fcgt die Zeile &#8222;auth required pam_google_authenticator.so&#8220; in die \/etc\/pam.d\/sshd hinzu<\/li>\n<li>In der\u00a0\/etc\/ssh\/sshd_config muss der Eintrag\u00a0ChallengeResponseAuthentication auf Yes gesetzt werden<\/li>\n<\/ul>\n<h3>Benutzereinrichtung:<\/h3>\n<ul>\n<li><span style=\"line-height: 13px;\">Mit dem aktuellen Benutzer f\u00fchrt ihr nun google-authenticator aus. Bedenkt dass die Einrichtung benutzerbezogen ist und f\u00fcr jeden Benutzer einzeln durchgef\u00fchrt werden muss.<\/span><\/li>\n<\/ul>\n<p><a href=\"https:\/\/nodch.de\/wp-content\/uploads\/nodch@nodchnb-_028.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-medium wp-image-3681\" alt=\"Google Authenticator SSH Ubuntu Server\" src=\"https:\/\/nodch.de\/wp-content\/uploads\/nodch@nodchnb-_028-431x550.jpg\" width=\"431\" height=\"550\" srcset=\"https:\/\/nodch.de\/wp-content\/uploads\/nodch@nodchnb-_028-431x550.jpg 431w, https:\/\/nodch.de\/wp-content\/uploads\/nodch@nodchnb-_028.jpg 724w\" sizes=\"auto, (max-width: 431px) 100vw, 431px\" \/><\/a><\/p>\n<ul>\n<li><span style=\"line-height: 13px;\">Scannt den Barcode mit eurem Smartphone und sichert euch die &#8222;scratch codes&#8220;, denn diese k\u00f6nnen einmalig genutzt werden, solltet ihr euer Smartphone nicht zur Hand haben.<\/span><\/li>\n<li>Die folgenden Fragen sollten nach bestem Wissen und Gewissen beantwortet werden: Zuerst l\u00e4sst man die Konfigurationsdatei des Users schreiben (y), dann unterbindet man die mehrfache Nutzung eines Tokens (y), dann verzichtet man auf k\u00fcrzere Synchronzeiten (n) und stellt sicher dass sowohl Server als auch Endger\u00e4t die indentische Zeit besitzen und schlussendlich aktiviert man das Limit dass nicht mehr als drei Loginversuche innerhalb von 30 Sekunden erlaubt sein sollen (y)<\/li>\n<li>Nach einem Neustart des ssh-Dienstes solltet ihr beim Login mit eurer Passwortabfrage begr\u00fcsst werden, gefolgt von der Aufforderung den aktuellen Token einzugeben.<\/li>\n<\/ul>\n<p>Dieser kleine Schritt bringt eine geh\u00f6rige Portion an zus\u00e4tzlicher Sicherheit mit sich, unterscheidet sich aber im Prinzip nicht von der Methode mittels OTP und opiekey, aus dem alten Artikel, da sich aber Google Authenticator zunehmender Beliebtheit erfreut, wollte ich euch nat\u00fcrlich zeigen wie man eine solche 2-Faktor Authentifizierung mit Ubuntu und dem Google Authenticator realisieren kann.<\/p>\n<p><strong>F\u00fcr Anmerkungen und Fragen stehe ich euch gerne zur Verf\u00fcgung, lasst einfach einen Kommentar da oder haut mich bei Google+ an.<\/strong><\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sicherheit ist gerade in der vernetzten Welt das A und O. Gestattet man nun per SSH Zugriff auf den eigenen PC oder einen Server, so sollte man diesen Zugang zus\u00e4tzlich absichern, denn SSH verlockt gerne zum Bruteforce-Angriff. Wie man seinen SSH-Zugang sichern kann, haben ich bereits im Artikel\u00a0HowTo: Ubuntu Server SSH Zugang mit OTP absichern\u00a0beschrieben, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[682,142],"tags":[2065,1255,215,2064,2485,716,832,715,2481],"class_list":["post-3680","post","type-post","status-publish","format-standard","hentry","category-howto","category-ubuntu","tag-2-faktor","tag-authentifizierung","tag-google","tag-google-authenticator","tag-howto","tag-otp","tag-sicherheit","tag-ssh","tag-ubuntu"],"_links":{"self":[{"href":"https:\/\/nodch.de\/index.php?rest_route=\/wp\/v2\/posts\/3680","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nodch.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/nodch.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/nodch.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nodch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3680"}],"version-history":[{"count":0,"href":"https:\/\/nodch.de\/index.php?rest_route=\/wp\/v2\/posts\/3680\/revisions"}],"wp:attachment":[{"href":"https:\/\/nodch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3680"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/nodch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3680"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/nodch.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3680"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}