Opnsense zweifaktor-Authentifizierung (2FA)
Hallo zusammen
Mit vielen Tipps und Tricks welche ich hier im Forum gefunden habe und natürlich den sensationellen Turtorials von @aqui, konnte ich mir eine top-opnsense zusammenbauen
Nun komme ich zum nächsten Part.
Mein Netzwerk ist theoretisch aus dem Internet über eine Domain erreichbar. Da ich quasi eine semi-statische IP-Adresse von meinem Provider Swisscom habe (seit 5 Jahren immer noch die selbe IP), habe ich bei meinem Mailhosting-Provider ein CNAME to A-Record auch die "statische" IP gemacht. Für VPN funktioniert das einwandfrei.
Um die Sicherheit auf meiner opnsense zu erhöhen - theoretisch wäre ja der Zugriff über die Domain möglich - habe ich die zweifaktor-Authentifizierung aktiviert. Der Token wird mit Hilfe der Google-Authenticator-App generiert, auch das funktioniert tadellos.
Nun habe ich gelesen, dass über die Shell der root-Zugriff auch ohne 2FA funktionieren soll.
Unter System > Settings > Administration habe ich den Authentifizierungs-Server auf den von mir erstellten 2FA-Server konfiguriert. Über das GUI funktionier der Zugang mit Token. Per Shell bekomme ich keinen root-Zugang mit oder ohne Token. Aktiviere ich aber local Database dazu, funktioniert der root-Zugang per Shell.
Was muss ich einstellen, damit ich auf dem GUI nur mit 2FA einlogen kann aber Shell quasi mein Notfall-Zugang ist?
opnsense schreibt, dass man den root-User nicht zwingend nutzen soll für die Shell. Man soll mit einem andere User in die Shell und per sudo su root-Rechte vergeben. Wie kann ich einen anderen User in die "wheel"-Gruppe speichern?
Soweit ich das verstanden habe, ist die wheel-Gruppe von der 2FA ausgenommen und man hat per Shell einen Notfall-Zugang.
Ist es denn auch möglich per Shell temporär die 2FA zu deaktivieren? Wenn ja, mit welchem Befehl?
Mit vielen Tipps und Tricks welche ich hier im Forum gefunden habe und natürlich den sensationellen Turtorials von @aqui, konnte ich mir eine top-opnsense zusammenbauen
Nun komme ich zum nächsten Part.
Mein Netzwerk ist theoretisch aus dem Internet über eine Domain erreichbar. Da ich quasi eine semi-statische IP-Adresse von meinem Provider Swisscom habe (seit 5 Jahren immer noch die selbe IP), habe ich bei meinem Mailhosting-Provider ein CNAME to A-Record auch die "statische" IP gemacht. Für VPN funktioniert das einwandfrei.
Um die Sicherheit auf meiner opnsense zu erhöhen - theoretisch wäre ja der Zugriff über die Domain möglich - habe ich die zweifaktor-Authentifizierung aktiviert. Der Token wird mit Hilfe der Google-Authenticator-App generiert, auch das funktioniert tadellos.
Nun habe ich gelesen, dass über die Shell der root-Zugriff auch ohne 2FA funktionieren soll.
Unter System > Settings > Administration habe ich den Authentifizierungs-Server auf den von mir erstellten 2FA-Server konfiguriert. Über das GUI funktionier der Zugang mit Token. Per Shell bekomme ich keinen root-Zugang mit oder ohne Token. Aktiviere ich aber local Database dazu, funktioniert der root-Zugang per Shell.
Was muss ich einstellen, damit ich auf dem GUI nur mit 2FA einlogen kann aber Shell quasi mein Notfall-Zugang ist?
opnsense schreibt, dass man den root-User nicht zwingend nutzen soll für die Shell. Man soll mit einem andere User in die Shell und per sudo su root-Rechte vergeben. Wie kann ich einen anderen User in die "wheel"-Gruppe speichern?
Soweit ich das verstanden habe, ist die wheel-Gruppe von der 2FA ausgenommen und man hat per Shell einen Notfall-Zugang.
Ist es denn auch möglich per Shell temporär die 2FA zu deaktivieren? Wenn ja, mit welchem Befehl?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6590356046
Url: https://administrator.de/contentid/6590356046
Ausgedruckt am: 05.11.2024 um 02:11 Uhr
9 Kommentare
Neuester Kommentar
Moin.
Hinterlege für SSH einen public key , und logge dich per SSH via PubliKey Verfahren ein. Interactive Auth mit ChallengeResponse und PublicKey sind zwei separate Verfahren, und die kann man beide im SSH-Daemon zulassen.
Die Kiste selbst würde ich per SSH persönlich nur aus dem internen Netz erreichbar machen und nicht öffentlich.
Cheers briggs
Hinterlege für SSH einen public key , und logge dich per SSH via PubliKey Verfahren ein. Interactive Auth mit ChallengeResponse und PublicKey sind zwei separate Verfahren, und die kann man beide im SSH-Daemon zulassen.
Die Kiste selbst würde ich per SSH persönlich nur aus dem internen Netz erreichbar machen und nicht öffentlich.
Cheers briggs
kannst du mir bitte auf die Sprünge helfen und mir erklären wie ich das machen muss?
Na denn, kein Thema.Auf ner Büchse ein Private/Public Key-Pair generieren. Entweder mit Passwort oder ohne, it's your choice.
ssh-keygen -t ed25519 -f mykey.pem
Login dann mit dem private key
ssh -i mykey.pem userABC@X.X.X.X
Fertsch.
Wozu, hast das hast du ja mit PubkicKey-Auth schon umgangen, du musst ja erst mal Shell-Zugriff haben bevor du was ändern kannst 😉. Könnte man es ohne, wäre 2FA ja witzlos.
Wenn du es trotzdem willst schau dich selbst mal auf der Shell in der Config um (bin jetzt unterwegs), dazu muss man i.d.R. nur den Auth-Provider für den jeweiligen Dienst von TOTP auf die integrierte USER-DB umstellen, kommt aber drauf an für welchen Dienst du 2FA deaktivieren willst, denn das kann man für die diverse Dienste umstellen.
Wenn du es trotzdem willst schau dich selbst mal auf der Shell in der Config um (bin jetzt unterwegs), dazu muss man i.d.R. nur den Auth-Provider für den jeweiligen Dienst von TOTP auf die integrierte USER-DB umstellen, kommt aber drauf an für welchen Dienst du 2FA deaktivieren willst, denn das kann man für die diverse Dienste umstellen.
Moinsen,
Keine Ahnung wie es bei opnsense aussieht, unter pfsense 2.6 zumindest wird ein einfaches Menü mit der Option Password reset angeboten. Dabei wird auch ein ggf vorhandener auth-server (radius) gegen die lokale Datenbank mit eben dem default Account getauscht, sodass die 2fa wegfällt.
Da die beiden Systeme ja nicht soooo unterschiedlich zu sein scheinen, gibt es sicherlich eine sehr ähnliche Lösung...
Keine Ahnung wie es bei opnsense aussieht, unter pfsense 2.6 zumindest wird ein einfaches Menü mit der Option Password reset angeboten. Dabei wird auch ein ggf vorhandener auth-server (radius) gegen die lokale Datenbank mit eben dem default Account getauscht, sodass die 2fa wegfällt.
Da die beiden Systeme ja nicht soooo unterschiedlich zu sein scheinen, gibt es sicherlich eine sehr ähnliche Lösung...
Hab's gerad mal gecheckt. Auf der OPNSense im Shell Menü einfach die Nummer 3) Reset the root password wählen, dann bekommt man die Option zur Deaktivierung der 2FA angeboten, wie @th30ther schreibt.
Ansonsten kann man auch die config.xml (Pfad:
Und danach auf der Shell einmal folgenden Befehl ausführt
Schon ist die 2FA für das WebGUI deaktiviert.
Cheers briggs
Ansonsten kann man auch die config.xml (Pfad:
/conf/config.xml
) tweaken, indem man in folgendem Abschnitt den 2FA Provider entfernt und nur noch "Local Database" drin stehen lässt:Und danach auf der Shell einmal folgenden Befehl ausführt
opnsense-shell reload
Cheers briggs