Habe am Wochenende mal den SSH Zugang meines Rootservers mit Zweifaktor-Authentifizierung via Google Authenticator versehen – klappt einwandfrei!
Anleitung (Debian Squeeze):
Es werden folgende Pakete benötigt:
Mercurial, libpam0g-dev, sudo und git
1. Repository clonen:
git clone https://code.google.com/p/google-authenticator/ /usr/src/googleauth2. Bauen:
cd /usr/src/googleauth/libpam make install3. Anpassen:
In die /etc/pam.d/sshd folgendes einfügen:
auth required pam_google_authenticator.soIn der /etc/ssh/sshd_config das Statement auf „yes“ ändern / bzw. folgende Zeile ergänzen:
ChallengeResponseAuthentication yes4. sshd restarten
/etc/init.d/ssh restart
Habe am Wochenende mal den SSH Zugang meines Rootservers mit Zweifaktor-Authentifizierung via Google Authenticator versehen – klappt einwandfrei!
Anleitung (Debian Squeeze):
Es werden folgende Pakete benötigt:
Mercurial, libpam0g-dev, sudo und git
1. Repository clonen:
git clone https://code.google.com/p/google-authenticator/ /usr/src/googleauth
2. Bauen:
cd /usr/src/googleauth/libpam make install
3. Anpassen:
In die /etc/pam.d/sshd folgendes einfügen:
auth required pam_google_authenticator.so
In der /etc/ssh/sshd_config das Statement auf „yes“ ändern / bzw. folgende Zeile ergänzen:
ChallengeResponseAuthentication yes
4. sshd restarten
/etc/init.d/ssh restart
5. User konfigurieren
Wechseln zum Useraccount, der abgesichert werden soll. Bei mir ein Dummy Account, da Root Login verboten ist. Dort auf der Kommandozeile aufrufen von „google-authenticator“
Alle Fragen mit „yes“ beantworten. Die generierten Daten auf alle Fälle kopieren und woanders speichern.
6. Google Authenticator App konfigurieren:
Die generierte URL aus dem Schritt 5 in den Browser kopieren und aufrufen. In der Google Authenticator App einen neuen Account mit „+“ anlegen und den im Browser angezeigten QR Code einscannen
Das war es!
Beim nächsten Login wird erst der Token abgefragt, dann das normale User-Passwort.
Update 1 – Installation unter Debian 7 (Wheezy)
Möchte man den Google Authenticator unter Debian 7 installieren, so ist die Prozedur an einigen Stellen etwas unterschiedlich. Die Sourcen holt man sich hier direct vom Projekt mittels:
32-Bit:
wget http://ftp.us.debian.org/debian/pool/main/g/google-authenticator/libpam-google-authenticator_20130529-2_i386.deb64-Bit:
wget http://ftp.us.debian.org/debian/pool/main/g/google-authenticator/libpam-google-authenticator_20130529-2_amd64.debInstalliert wird das dann mit:
dpkg -i libpam-google-authenticator_20130529-2_i386.deb
bzw.
dpkg -i libpam-google-authenticator_20130529-2_amd64.debDie restlichen Schritte erfolgend dann gemäß Punkt 3 folgende aus o.a. Anleitung.
