Mit E-Mail-Diensten muss sich jeder Administrator früher oder später einmal beschäftigen. Das zur CeBIT erscheinende ADMIN 02/2012 gibt dazu Praxis-Tipps und ... (mehr)

Das User-Setup für den Authenticator

Die Systemkonfiguration ist damit abgeschlossen. Im nächsten Schritt folgt die benutzerspezifische Authenticator-Konfiguration. Diese ist als der Benutzer auszuführen, der später tatsächlich auch die Zwei-Phasen-Anmeldung verwenden soll und nicht etwa als der Benutzer »root« .

Der Aufruf von »google-authenticator« legt ein benutzerspezifisches Profil an und generiert den Schlüssel, mit dessen Hilfe später Hashes für den Login erstellt werden.

Das Programm gibt zunächst eine URL aus, die es zu notieren gilt. Dann verrät es die Authenticator-Benutzerkennung, einen Verifizierungscode und fünf Notfallcodes. Diese Codes sind notwendig, um einen neuen Schlüssel erstellen zu können, sollte das Smartphone mit dem originalen Key einmal abhanden kommen. Sie sind also ebenfalls unbedingt zu notieren und an einer sicheren Stelle aufzubewahren – im Idealfall allerdings nicht gerade auf dem jeweiligen System selbst.

Im Anschluss stellt das Programm noch einige Fragen, mit denen sich die Sicherheit der generierten Einmal-PINs weiter erhöhen lässt. Ob die damit verbundenen Funktionen aktiviert oder deaktiviert sein sollen, obliegt dem persönlichen Wunsch des Admins.

Die von »google-authenticator« ausgegebene URL führt zu einem QR-Code (Abbildung 3), der sich mit der Kamera des Android-Telefons scannen lässt. Wenn das passiert ist, ist das Smartphone entsprechend des erstellten Accounts konfiguriert. Dann kann es losgehen: Ein »sudo username« sollte den Beutzer erst zur regulären Password-Abfrage führen und danach zu einer PIN-Abfrage, die sich mit einem in der »Google Authenticator« -Android-App generierten PIN beantworten lässt. Hat dieser Vorgang geklappt, ist das Setup ok.

Abbildung 3: Der Link, den

Fazit

Die in diesem Beitrag vorgestellte Lösung funktioniert für alle PAM-fähigen Dienste, jedoch gibt es ein paar Pferdefüße zu beachten: Wer SSH mit SSL-Schlüsseln verwendet, der wickelt die gesamte Authentifizierung anders ab und umgeht den Authenticator-Teil von vornherein. Eine genaue Anleitung für Zwei-Wege-Authentifizierung findet sich in [3]. Admins sollten sich allerdings überlegen, ob die Zwei-Wege-Authentifizierung nicht eine sinnvolle Alternative zu SSL-Schlüsseln darstellt. Denn während ein Account, der mit einem guten Passwort und der Authenticator-Methode geschützt ist, wegen der zwei Ebenen nur sehr schwer zu knacken sein dürfte, bieten SSL-Schlüssel nur eine einzelne Sicherheitsebene. Ein weiches Passwort und der Verlust des Private Keys sind weitere erhebliche Gefahren. Zudem wäre zu bedenken, dass längst nicht jeder seinen privaten SSL-Schlüssel mit der notwendigen Sorgfalt behandelt. (jcb)

Infos

  1. Die Website des Google-Authenticators: http://code.google.com/p/google-authenticator/
  2. Aktuelle Mercurial-Pakete für Ubuntu 10.04: http://ubuntu.inode.at/ubuntu/pool/universe/m/mercurial
  3. Philipp Neuhaus, Linux-Magazin 01/2012, S. 78: "Zweifach gesichert".
comments powered by Disqus
Mehr zum Thema

ADMIN-Tipp: Two-Factor-Authentication für SSH

Wer sich sicherer fühlen will, verwendet zum SSH-Login Multifaktor-Authentifizierung. Smartphone-Besitzer können hierbei mit dem Google-Authenticator Einmal-Passwörter verwenden. 

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021