Linux absichern mit dem Google Authenticator

Wer für sein Linux gerne eine Zwei-Faktor-Authentifizierung haben möchte, kann das mit wirklich wenigen Schritten verwirklichen. Es spielt in diesem Beispiel keine Rolle ob es um die Desktop-Anmeldung oder den SSH Zugriff geht.

Wichtig ist dabei aber eines: Die Systemzeit und das Datum muss stimmen.

Als erstes setzen wir die Zeitzone richtig:

dpkg-reconfigure tzdata

Danach installieren wir NTPDATE um die Zeit über das Internet abzugleichen und stellen einen Zeitserver ein:

sudo apt-get install ntpdate

ntpdate pool.ntp.org (Du kannst Deinen Lieblingszeitserver eintragen, natürlich auch per IP Adresse)

Nun besorgen wir uns noch den Google-Authenticator:

sudo apt-get install libpam-google-authenticator

Pack schon mal das Smartphone aus, gleich geht es an das Code-Scannen. Jetzt starten wir die Code-Erstellung:

google-authenticator

Beantworte die gestellten Fragen wie es für Dein System passt und scanne den erstellten Code im Terminal mit Deinem Smartphone ein.

Jetzt teilen wir Linux mit das wir gerne den Google-Authenticator nutzen möchten für die Anmeldung. Dafür editieren wir die Datei /etc/pam.d/common-auth:
(Nur für SSH /etc/pam.d/sshd)

sudo nano /etc/pam.d/common-auth
(Nur für SSH /etc/pam.d/sshd)

Wir fügen am Ende der Datei den folgenden Inhalt ein:

auth required pam_google_authenticator.so nullok

Ab jetzt wird bei jeder Anmeldung nach dem Code gefragt. Versuche dies einmal.

Wenn es klappt, dann editieren wir wieder die Datei /etc/pam.d/common-auth und entfernen „NULLOK“ am Ende der letzten Zeile die wir vorher eingetragen haben. Dieser Parameter bedeutet das  auch ohne den Code angemeldet werden kann, dies ist für den 1. Test nach dem Einstellen gedacht, wäre ja blöd wenn beim einrichten etwas schief geht und man sich aussperren würde.

 

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Diese Seite nutzt Akismet um Spam zu verhindern. Mehr Informationen über die Spamerkennung.