• SSH Zugang absichern mittel Google Authenticator

  • Habe am Wochenende mal den SSH Zugang meines Rootservers mit Zweifaktor-Authentifizierung via Google Authenticator versehen - klappt einwandfrei!

    Anleitung (Debian Squeeze):

    Es werden folgende Pakete benötigt:
    Mercurial, libpam0g-dev, sudo und git

    1. Repository clonen:

    git clone https://code.google.com/p/google-authenticator/ /usr/src/googleauth

    2. Bauen:

    cd /usr/src/googleauth/libpam make install

    3. Anpassen:

    In die /etc/pam.d/sshd folgendes einfügen:

    auth required pam_google_authenticator.so

    In der /etc/ssh/sshd_config das Statement auf "yes" ändern / bzw. folgende Zeile ergänzen:

    ChallengeResponseAuthentication yes

    4. sshd restarten

    /etc/init.d/ssh restart

    5. User konfigurieren

    Wechseln zum Useraccount, der abgesichert werden soll. Bei mir ein Dummy Account, da Root Login verboten ist. Dort auf der Kommandozeile aufrufen von "google-authenticator"
    Alle Fragen mit "yes" beantworten. Die generierten Daten auf alle Fälle kopieren und woanders speichern.

    6. Google Authenticator App konfigurieren:

    Die generierte URL aus dem Schritt 5 in den Browser kopieren und aufrufen. In der Google Authenticator App einen neuen Account mit "+" anlegen und den im Browser angezeigten QR Code einscannen

    Das war es!

    Beim nächsten Login wird erst der Token abgefragt, dann das normale User-Passwort.

     

    Update 1 - Installation unter Debian 7 (Wheezy)

    Möchte man den Google Authenticator unter Debian 7 installieren, so ist die Prozedur an einigen Stellen etwas unterschiedlich. Die Sourcen holt man sich hier direct vom Projekt mittels:

    32-Bit:
    wget http://ftp.us.debian.org/debian/pool/main/g/google-authenticator/libpam-google-authenticator_20130529-2_i386.deb
    64-Bit:
    wget http://ftp.us.debian.org/debian/pool/main/g/google-authenticator/libpam-google-authenticator_20130529-2_amd64.deb

    Installiert wird das dann mit:

    dpkg -i libpam-google-authenticator_20130529-2_i386.deb
    
    bzw. 
    
    dpkg -i libpam-google-authenticator_20130529-2_amd64.deb

    Die restlichen Schritte erfolgend dann gemäß Punkt 3 folgende aus o.a. Anleitung.