Google-Authenticator und SSH

Wenn man aktuell die Problematik mit Passwörtern beobachtet, ist ja in der Theorie schon mal alles unsicher und die Sache stinkt gewaltig. Zeit um für diesen Fall „Plan G“ aus der Tasche zu ziehen: Der Google-Authenticator als mobiler Token erweitert das Passwort um eine 6-Stellige Zahl, die per App generiert wird – so wie man es von den RSA Tokens kennt.

Google bietet für deren Authentikator ein PAM Modul an, mit dem man eine Menge anstellen kann, da man es überall durch minimalen Konfigurationsaufwand einstöpseln kann – und das geht so: in der PAM-Config in /etc/pam.d/ liegen die einzelnen Service-Konfigurationen. Dort fügen wir diese eine Zeile in der entsprechenden Datei, zB für ssh hinzu:

auth required pam_google_authenticator.so nullok

Das heißt nun konkret, SSH braucht den Google-Authenticator. Der Parameter ’nullok‘ ist eine Art Bypass, sollte dieser nicht für den User konfiguriert sein. Auf die Konfiguration des einzelnen Services gehe ich nun nicht genauer ein. Es langt im Falle des SSHds eine Aktivierung von ChallengeResponseAuthentication.

Danach muss man nur noch die Authenticator App mit dem System koppeln:

user $
google-authenticator

Author:

One thought on “Google-Authenticator und SSH”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Notify me of followup comments via e-mail. You can also subscribe without commenting.