You are currently viewing SSH Zugang absichern mittel Google Authenticator

SSH Zugang absichern mittel Google Authenticator

  • Beitrags-Autor:
  • Beitrags-Kategorie:Technik

Habe am Wochenende mal den SSH Zugang meines Rootservers mit Zweifaktor-Authentifizierung via Google Authenticator versehen – klappt einwandfrei!

Anleitung (Debian Squeeze):

Es werden folgende Pakete benötigt:
Mercurial, libpam0g-dev, sudo und git

1. Repository clonen:

git clone https://code.google.com/p/google-authenticator/ /usr/src/googleauth

2. Bauen:

cd /usr/src/googleauth/libpam make install

3. Anpassen:

In die /etc/pam.d/sshd folgendes einfügen:

auth required pam_google_authenticator.so

In der /etc/ssh/sshd_config das Statement auf „yes“ ändern / bzw. folgende Zeile ergänzen:

ChallengeResponseAuthentication yes

4. sshd restarten

/etc/init.d/ssh restart


Habe am Wochenende mal den SSH Zugang meines Rootservers mit Zweifaktor-Authentifizierung via Google Authenticator versehen – klappt einwandfrei!

Anleitung (Debian Squeeze):

Es werden folgende Pakete benötigt:
Mercurial, libpam0g-dev, sudo und git

1. Repository clonen:

git clone https://code.google.com/p/google-authenticator/ /usr/src/googleauth

2. Bauen:

cd /usr/src/googleauth/libpam make install

3. Anpassen:

In die /etc/pam.d/sshd folgendes einfügen:

auth required pam_google_authenticator.so

In der /etc/ssh/sshd_config das Statement auf „yes“ ändern / bzw. folgende Zeile ergänzen:

ChallengeResponseAuthentication yes

4. sshd restarten

/etc/init.d/ssh restart

5. User konfigurieren

Wechseln zum Useraccount, der abgesichert werden soll. Bei mir ein Dummy Account, da Root Login verboten ist. Dort auf der Kommandozeile aufrufen von „google-authenticator“
Alle Fragen mit „yes“ beantworten. Die generierten Daten auf alle Fälle kopieren und woanders speichern.

6. Google Authenticator App konfigurieren:

Die generierte URL aus dem Schritt 5 in den Browser kopieren und aufrufen. In der Google Authenticator App einen neuen Account mit „+“ anlegen und den im Browser angezeigten QR Code einscannen

Das war es!

Beim nächsten Login wird erst der Token abgefragt, dann das normale User-Passwort.

Update 1 – Installation unter Debian 7 (Wheezy)

Möchte man den Google Authenticator unter Debian 7 installieren, so ist die Prozedur an einigen Stellen etwas unterschiedlich. Die Sourcen holt man sich hier direct vom Projekt mittels:

32-Bit:
wget http://ftp.us.debian.org/debian/pool/main/g/google-authenticator/libpam-google-authenticator_20130529-2_i386.deb
64-Bit:
wget http://ftp.us.debian.org/debian/pool/main/g/google-authenticator/libpam-google-authenticator_20130529-2_amd64.deb

Installiert wird das dann mit:

dpkg -i libpam-google-authenticator_20130529-2_i386.deb

bzw. 

dpkg -i libpam-google-authenticator_20130529-2_amd64.deb

Die restlichen Schritte erfolgend dann gemäß Punkt 3 folgende aus o.a. Anleitung.