wiki:sicherheit:ssh_2-factor-authentication

Wie mach man SSH noch sicherer?

Indem man noch zum Faktor „Wissen“ (Passwort) den Faktor „Besitzen“ (Handy mit App) hinzufügt.

 sudo apt-get install libpam-google-authenticator
  • In der Datei sudo nano /etc/pam.d/sshd direkt unter @include common-auth folgende Zeile einfügen
    auth required pam_google_authenticator.so
  • In der Datei /etc/ssh/sshd_config überprüfen, ob die folgenden Werte eingetragen sind
    ChallengeResponseAuthentication yes
    PasswordAuthentication yes
    UsePAM yes
  • SSH-Server neu starten
    systemctl restart ssh
  • Fertig
google-authenticator

Alle Fragen, die während der Schlüsselerzeugung gestellt werden, müssen mit 'yes' beantwortet werden

Es gibt für Android mehrere Apps, die den ausgegebenen QR-Code verarbeiten können
Ich habe mich für freeOTP entschieden, da es von RedHat entwickelt wurde und sehr gute Bewertungen hat.

Im Endeffekt ist es egal, welche App man benutzt. Das Vorgehen fast immer gleich: App öffnen → QR-Code einlesen oder Secret Key eingeben → fertig

Quellen

Geben Sie Ihren Kommentar ein. Wiki-Syntax ist zugelassen:
 ______  __  __  __  __  ____    ___ 
/_  __/ / / / / / / / / / __ \  / _ )
 / /   / /_/ / / /_/ / / /_/ / / _  |
/_/    \____/  \____/  \___\_\/____/
 
  • wiki/sicherheit/ssh_2-factor-authentication.txt
  • Zuletzt geändert: 2015/09/04 12:03
  • von wikiadmin