ukleemann
05.12.2024
view1235
view7
0
Goto Top

Keine Authentifizierung mittels OTP (google Authenticator) bei zugriff via ssh

FrageSicherheitstools
Liebe Admin Kollegen,

ich habe mir auf meinen proxmox-testcluster eine vm eingerichtet und entsprechend für die Nutzung einer MFA mit OTP (google-authenticator) konfiguriert.

Der Zugriff auf die VM im proxmox funktioniert einwandfrei, bei ssh bekomme ich ein public key acces denied.

Was könnte das sein?


Gruss aus Stuttgart

Uli
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 670015

Url: https://administrator.de/forum/keine-authentifizierung-mittels-otp-google-authenticator-bei-zugriff-via-ssh-670015.html

Ausgedruckt am: 06.01.2025 um 23:01 Uhr

7 Kommentare
Neuester Kommentar
Goto Top
Dani
Dani 05.12.2024 um 20:51:36 Uhr
Goto Top
Moin,
ich habe mir auf meinen proxmox-testcluster eine vm eingerichtet und entsprechend für die Nutzung einer MFA mit OTP (google-authenticator) konfiguriert.
nach welcher Anleitung hast du denn das Ganze eingerichtet?


Gruß,
Dani
ukleemann
ukleemann 16.12.2024 um 11:50:37 Uhr
Goto Top
Hallo Dani,

nach unser internen Auszug zu otp unten.


Sehr wichtig bitte sorgfältig lesen!
Damit Sie sicher auf ihre VM zugreifen können haben wir eine sog. 2-Faktor Authentifizierung eingerichtet d.h. Sie melden sich mit ihrem Benutzernamen und Passwort an und erhalten eine Meldung, daß ein sog. zweiter Faktor benötigt wird.
Dieser zweite Faktor ist ein nur einmal zu verwendendes Passwort in Form einer 6-stelligen Zahl, die automatisch zufällig vom Google-Authenticator erzeugt wird. Hierzu muss die entsprechende App auf ihrem Dienstsmartphone installiert und Sie für den Zugang freigeschaltet worden sein.
Diese Zahl tippen Sie als 2. Faktor ein .
Verwenden Sie dieses Einmailpasswort nur einmal - notieren Sie es nirgendwo  geben Sie es niemals weiter!
Diese 2 Faktor Authentifizierung müssen Sie noch auf ihrer neuen VM aktivieren.
Wechseln Sie auf der Konsole in dieses Verzeichnis /etc/ssh/sshd_config.d/  
(Wichtig Änderungen immer im Verzeichnis _config.d ausführen - niemals die config Datei selbst editieren!!!!!)
Sie führen also bitte aus:
cd  /etc/ssh/sshd_config.d/
dort legen Sie eine neue Datei  z.b.  10-totp.conf an
z.b. so : nano 10-totp.conf



Gruss 

Uli
dann tragen Sie bitte dort ein:
# Google Authenticator
UsePAM yes
PasswordAuthentication no
PubkeyAuthentication yes
ChallengeResponseAuthentication yes
KbdInteractiveAuthentication yes
AuthenticationMethods publickey,keyboard-interactive
PermitRootLogin yes
speichern Sie die Datei mit STRG+X
Jetzt wechseln Sie in die das Verzeichnis /etc/pam.d
also cd /etc/pam.d
google-authenticator --time-based --disallow-reuse --window-size=3 --step-size=30 --rate-limit=3 --rate-time=30
Jetzt vergeben Sie für den Benutzer root bitte ein starkes Passwort bestehend aus Klein und Großbuchstaben den Ziffern 0 bis 9 und Sonderzeichen wie @#!§$%&/()=?`
Dani
Dani 17.12.2024 um 15:15:57 Uhr
Goto Top
Moin,
bin ich blind oder fehlt bei euch in der Doku die Anpassung der Datei /etc/pam.d/sshd?


Gruß,
Dani
ukleemann
ukleemann 17.12.2024 um 15:31:51 Uhr
Goto Top
Hallo Dani,

die schaut so aus:

PAM konfigurieren

Das PAM-Modul wird am Anfang der Datei /etc/pam.d/sshd eingefügt.

# PAM configuration for the Secure Shell service

# Google Authenticator
auth [success=done new_authtok_reqd=done ignore=ignore default=die] pam_google_authenticator.so

# Standard Un*x authentication.
@include common-auth

Die Zeile mit common-auth nicht auskommentieren.

Gruss

Uli
Dani
Dani 17.12.2024 um 16:20:17 Uhr
Goto Top
Moin,
deine Konfiguration funktioniert auf einem frischen Ubuntu Server 22.04 LTS problemlos. Wobei ich mich mit via Public Key (ohne PW) an der VM anmelde.

Wie lauten deine Rahmenbedingungen?


Gruß,
Dani
ukleemann
ukleemann 18.12.2024 um 08:22:29 Uhr
Goto Top
Hallo Dani,

was genau meinst du mit Rahmenbedingungen? Ich soll mich als root per ssh mit publickey und OTP aufschalten können (bash) funktioniert und soll mich als user mit publickey und otp auf die vnc der vm aufschalten können funktioniert nicht.

Ich hoffe das meinstest Du.

Gruss

Uli
Dani
Dani 18.12.2024 um 19:44:21 Uhr
Goto Top
Moin,
was genau meinst du mit Rahmenbedingungen?
Welches OS? Public Key oder Passwort Auth? Public Key mit Passpharse geschützt? Verwendest du den Benutzer "root" oder hast du einen dedizierten Benutzer angelegt?


Gruß
Dani
FrageSicherheitstools
Mehr von ukleemannukleemannSSH mit publickey PasswordAuthentication no Problemukleemann - 6 KommentareukleemannWiedersprüchliche Nagios Meldungukleemann - 4 Kommentare
Heiß diskutiert
SarekHLWarum ist NVIDIA besser als Intel?SarekHL - 49 KommentareEDVMan27Budget HA IT bei Hetzner mit Hyper-V-ReplicaEDVMan27 - 25 KommentareBN2023Verschlüsseltes Laufwerk wieder entschlüsselnBN2023 - 25 KommentareBiosCatVerdacht auf kompromittiertes BIOS und Malware auf HP-SystemBiosCat - 23 KommentareThor2605Mikrotik - Einstieg in IPv6Thor2605 - 23 KommentareHarald99IPv6 für FauleHarald99 - 20 KommentareJokurtDirekt in Ordner auf NAS scannenJokurt - 18 KommentareSvenTejBrother Scanner unter WIN11 24H2 nicht einrichtbarSvenTej - 17 Kommentarepengo1989Ubuntu Updatemanagementpengo1989 - 16 KommentareSarekHLWord-Serienbriefe aus Excel-Tabelle mit ÜberschriftSarekHL - 15 KommentareStefanKittelWieviele IOPS sind genug? Und warum gibt es im RZ davon so wenig?StefanKittel - 14 KommentaredjfflowNPS Authentifizierung fehlgeschlagendjfflow - 13 Kommentare