Wie man

So sichern Sie SSH mit der Zwei-Faktor-Authentifizierung von Google Authenticator

Möchten Sie Ihren SSH-Server mit einer benutzerfreundlichen Zwei-Faktor-Authentifizierung absichern? Google stellt die erforderliche Software bereit, um das zeitbasierte Einmalpasswortsystem (TOTP) von Google Authenticator in Ihren SSH-Server zu integrieren. Sie müssen den Code von Ihrem Telefon eingeben, wenn Sie eine Verbindung herstellen.

Google Authenticator „telefoniert“ nicht mit Google nach Hause – die gesamte Arbeit geschieht auf Ihrem SSH-Server und Ihrem Telefon. Tatsächlich ist Google Authenticator komplett Open Source, sodass Sie den Quellcode sogar selbst untersuchen können.

Installieren Sie Google Authenticator

Um die Multifaktor-Authentifizierung mit Google Authenticator zu implementieren, benötigen wir das Open-Source-Google Authenticator-PAM-Modul. PAM steht für „Pluggable Authentication Module“ – es ist eine Möglichkeit, verschiedene Formen der Authentifizierung einfach in ein Linux-System einzubinden.

Die Software-Repositorys von Ubuntu enthalten ein einfach zu installierendes Paket für das Google Authenticator PAM-Modul. Wenn Ihre Linux-Distribution kein Paket dafür enthält, müssen Sie es von der Downloadseite für Google Authenticator auf Google Code und kompilieren Sie ihn selbst.

Um das Paket unter Ubuntu zu installieren, führen Sie den folgenden Befehl aus:

sudo apt-get install libpam-google-authenticator

(Dadurch wird nur das PAM-Modul auf unserem System installiert – wir müssen es für SSH-Logins manuell aktivieren.)

Erstellen Sie einen Authentifizierungsschlüssel

Melden Sie sich als der Benutzer an, mit dem Sie sich aus der Ferne anmelden, und führen Sie die Google-Authentifikator Befehl zum Erstellen eines geheimen Schlüssels für diesen Benutzer.

Erlauben Sie dem Befehl, Ihre Google Authenticator-Datei zu aktualisieren, indem Sie y eingeben. Sie werden dann mit mehreren Fragen aufgefordert, die es Ihnen ermöglichen, die Verwendung desselben temporären Sicherheitstokens einzuschränken, das Zeitfenster, für das Token verwendet werden können, zu erhöhen und die zulässigen Zugriffsversuche zu begrenzen, um Brute-Force-Cracking-Versuche zu verhindern. Diese Auswahlmöglichkeiten gehen alle etwas Sicherheit gegen Benutzerfreundlichkeit ein.

Google Authenticator präsentiert Ihnen einen geheimen Schlüssel und mehrere „Notfall-Rubbelcodes“. Notieren Sie sich die Notrufcodes an einem sicheren Ort – sie können jeweils nur einmal verwendet werden und sind für den Fall vorgesehen, dass Sie Ihr Telefon verlieren.

Geben Sie den geheimen Schlüssel in der Google Authenticator-App auf Ihrem Telefon ein (offizielle Apps sind verfügbar für Android, iOS und Blackberry). Sie können auch die Funktion zum Scannen von Barcodes verwenden – gehen Sie zu der URL, die sich oben in der Ausgabe des Befehls befindet, und scannen Sie einen QR-Code mit der Kamera Ihres Telefons.

Sie haben jetzt einen sich ständig ändernden Bestätigungscode auf Ihrem Telefon.

Wenn Sie sich remote als mehrere Benutzer anmelden möchten, führen Sie diesen Befehl für jeden Benutzer aus. Jeder Benutzer hat seinen eigenen geheimen Schlüssel und seine eigenen Codes.

Aktivieren Sie Google Authenticator

Als nächstes müssen Sie den Google Authenticator für SSH-Logins benötigen. Öffnen Sie dazu das /etc/pam.d/sshd Datei auf Ihrem System (zum Beispiel mit dem sudo nano /etc/pam.d/sshd Befehl) und fügen Sie der Datei die folgende Zeile hinzu:

Authentifizierung erforderlich pam_google_authenticator.so

Öffnen Sie als Nächstes die /etc/ssh/sshd_config Datei, suchen Sie die HerausforderungAntwortAuthentifizierung Zeile und ändern Sie sie wie folgt:

HerausforderungAntwortAuthentifizierung ja

(Wenn die HerausforderungAntwortAuthentifizierung Zeile noch nicht vorhanden ist, fügen Sie die obige Zeile der Datei hinzu.)

Starten Sie abschließend den SSH-Server neu, damit Ihre Änderungen wirksam werden:

sudo service ssh neu starten