9
Opnsense zweifaktor-Authentifizierung (2FA)
Hallo zusammen
Mit vielen Tipps und Tricks welche ich hier im Forum gefunden habe und natürlich den sensationellen Turtorials von @aqui, konnte ich mir eine top-opnsense zusammenbauen
Nun komme ich zum nächsten Part.
Mein Netzwerk ist theoretisch aus dem Internet über eine Domain erreichbar. Da ich quasi eine semi-statische IP-Adresse von meinem Provider Swisscom habe (seit 5 Jahren immer noch die selbe IP), habe ich bei meinem Mailhosting-Provider ein CNAME to A-Record auch die "statische" IP gemacht. Für VPN funktioniert das einwandfrei.
Um die Sicherheit auf meiner opnsense zu erhöhen - theoretisch wäre ja der Zugriff über die Domain möglich - habe ich die zweifaktor-Authentifizierung aktiviert. Der Token wird mit Hilfe der Google-Authenticator-App generiert, auch das funktioniert tadellos.
Nun habe ich gelesen, dass über die Shell der root-Zugriff auch ohne 2FA funktionieren soll.
Unter System > Settings > Administration habe ich den Authentifizierungs-Server auf den von mir erstellten 2FA-Server konfiguriert. Über das GUI funktionier der Zugang mit Token. Per Shell bekomme ich keinen root-Zugang mit oder ohne Token. Aktiviere ich aber local Database dazu, funktioniert der root-Zugang per Shell.
Was muss ich einstellen, damit ich auf dem GUI nur mit 2FA einlogen kann aber Shell quasi mein Notfall-Zugang ist?
opnsense schreibt, dass man den root-User nicht zwingend nutzen soll für die Shell. Man soll mit einem andere User in die Shell und per sudo su root-Rechte vergeben. Wie kann ich einen anderen User in die "wheel"-Gruppe speichern?
Soweit ich das verstanden habe, ist die wheel-Gruppe von der 2FA ausgenommen und man hat per Shell einen Notfall-Zugang.
Ist es denn auch möglich per Shell temporär die 2FA zu deaktivieren? Wenn ja, mit welchem Befehl?
Mit vielen Tipps und Tricks welche ich hier im Forum gefunden habe und natürlich den sensationellen Turtorials von @aqui, konnte ich mir eine top-opnsense zusammenbauen
Nun komme ich zum nächsten Part.
Mein Netzwerk ist theoretisch aus dem Internet über eine Domain erreichbar. Da ich quasi eine semi-statische IP-Adresse von meinem Provider Swisscom habe (seit 5 Jahren immer noch die selbe IP), habe ich bei meinem Mailhosting-Provider ein CNAME to A-Record auch die "statische" IP gemacht. Für VPN funktioniert das einwandfrei.
Um die Sicherheit auf meiner opnsense zu erhöhen - theoretisch wäre ja der Zugriff über die Domain möglich - habe ich die zweifaktor-Authentifizierung aktiviert. Der Token wird mit Hilfe der Google-Authenticator-App generiert, auch das funktioniert tadellos.
Nun habe ich gelesen, dass über die Shell der root-Zugriff auch ohne 2FA funktionieren soll.
Unter System > Settings > Administration habe ich den Authentifizierungs-Server auf den von mir erstellten 2FA-Server konfiguriert. Über das GUI funktionier der Zugang mit Token. Per Shell bekomme ich keinen root-Zugang mit oder ohne Token. Aktiviere ich aber local Database dazu, funktioniert der root-Zugang per Shell.
Was muss ich einstellen, damit ich auf dem GUI nur mit 2FA einlogen kann aber Shell quasi mein Notfall-Zugang ist?
opnsense schreibt, dass man den root-User nicht zwingend nutzen soll für die Shell. Man soll mit einem andere User in die Shell und per sudo su root-Rechte vergeben. Wie kann ich einen anderen User in die "wheel"-Gruppe speichern?
Soweit ich das verstanden habe, ist die wheel-Gruppe von der 2FA ausgenommen und man hat per Shell einen Notfall-Zugang.
Ist es denn auch möglich per Shell temporär die 2FA zu deaktivieren? Wenn ja, mit welchem Befehl?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6590356046
Url: https://administrator.de/contentid/6590356046
Printed on: May 12, 2024 at 16:05 o'clock
9 Comments
Latest comment
Hi,
Unabhängig von der 2-FA Geschichte: Warum soll die Firewall selbst überhaupt aus dem Internet erreichbar sein?
VPN Port(s) reichen doch völlig aus.
Gruß
Drohnald
Unabhängig von der 2-FA Geschichte: Warum soll die Firewall selbst überhaupt aus dem Internet erreichbar sein?
VPN Port(s) reichen doch völlig aus.
Gruß
Drohnald
Moin.
Hinterlege für SSH einen public key , und logge dich per SSH via PubliKey Verfahren ein. Interactive Auth mit ChallengeResponse und PublicKey sind zwei separate Verfahren, und die kann man beide im SSH-Daemon zulassen.
Die Kiste selbst würde ich per SSH persönlich nur aus dem internen Netz erreichbar machen und nicht öffentlich.
Cheers briggs
Hinterlege für SSH einen public key , und logge dich per SSH via PubliKey Verfahren ein. Interactive Auth mit ChallengeResponse und PublicKey sind zwei separate Verfahren, und die kann man beide im SSH-Daemon zulassen.
Die Kiste selbst würde ich per SSH persönlich nur aus dem internen Netz erreichbar machen und nicht öffentlich.
Cheers briggs
1
@Drohnald die Firewall ist nicht aus dem Internet erreichbar.
@6247018886 kannst du mir bitte auf die Sprünge helfen und mir erklären wie ich das machen muss?
Ich bin kein IT-Spezialist, habe aber eine IT-Affinität. Lerne gerne dazu und gebe mein erlerntes Wissen auch weiter
@6247018886 kannst du mir bitte auf die Sprünge helfen und mir erklären wie ich das machen muss?
Ich bin kein IT-Spezialist, habe aber eine IT-Affinität. Lerne gerne dazu und gebe mein erlerntes Wissen auch weiter
kannst du mir bitte auf die Sprünge helfen und mir erklären wie ich das machen muss?
Na denn, kein Thema.Auf ner Büchse ein Private/Public Key-Pair generieren. Entweder mit Passwort oder ohne, it's your choice.
ssh-keygen -t ed25519 -f mykey.pem
Login dann mit dem private key
ssh -i mykey.pem userABC@X.X.X.XFertsch.
1
@6247018886
Das klappt ja mal super Dankeschön
Wie kann ich im Worst Case per Shell die 2FA deaktivieren?
Das klappt ja mal super
DankeschönWie kann ich im Worst Case per Shell die 2FA deaktivieren?
Wozu, hast das hast du ja mit PubkicKey-Auth schon umgangen, du musst ja erst mal Shell-Zugriff haben bevor du was ändern kannst 😉. Könnte man es ohne, wäre 2FA ja witzlos.
Wenn du es trotzdem willst schau dich selbst mal auf der Shell in der Config um (bin jetzt unterwegs), dazu muss man i.d.R. nur den Auth-Provider für den jeweiligen Dienst von TOTP auf die integrierte USER-DB umstellen, kommt aber drauf an für welchen Dienst du 2FA deaktivieren willst, denn das kann man für die diverse Dienste umstellen.
Wenn du es trotzdem willst schau dich selbst mal auf der Shell in der Config um (bin jetzt unterwegs), dazu muss man i.d.R. nur den Auth-Provider für den jeweiligen Dienst von TOTP auf die integrierte USER-DB umstellen, kommt aber drauf an für welchen Dienst du 2FA deaktivieren willst, denn das kann man für die diverse Dienste umstellen.
@6247018886
Dann werde ich mich da mal schlau machen.
Es geht nur darum, dass ich im Notfall auf das opnsense GUI komme wenn zB mein Smartphone zickt oder warum auch immer...
Danke für die Hilfe 🙂
Aber für einen Hilkfreichen Input wie man den Auth-Provider per Shell temporär ändern kann wäre ich trotzdem dankbar
Dann werde ich mich da mal schlau machen.
Es geht nur darum, dass ich im Notfall auf das opnsense GUI komme wenn zB mein Smartphone zickt oder warum auch immer...
Danke für die Hilfe 🙂
Aber für einen Hilkfreichen Input wie man den Auth-Provider per Shell temporär ändern kann wäre ich trotzdem dankbar
Moinsen,
Keine Ahnung wie es bei opnsense aussieht, unter pfsense 2.6 zumindest wird ein einfaches Menü mit der Option Password reset angeboten. Dabei wird auch ein ggf vorhandener auth-server (radius) gegen die lokale Datenbank mit eben dem default Account getauscht, sodass die 2fa wegfällt.
Da die beiden Systeme ja nicht soooo unterschiedlich zu sein scheinen, gibt es sicherlich eine sehr ähnliche Lösung...
Keine Ahnung wie es bei opnsense aussieht, unter pfsense 2.6 zumindest wird ein einfaches Menü mit der Option Password reset angeboten. Dabei wird auch ein ggf vorhandener auth-server (radius) gegen die lokale Datenbank mit eben dem default Account getauscht, sodass die 2fa wegfällt.
Da die beiden Systeme ja nicht soooo unterschiedlich zu sein scheinen, gibt es sicherlich eine sehr ähnliche Lösung...
Hab's gerad mal gecheckt. Auf der OPNSense im Shell Menü einfach die Nummer 3) Reset the root password wählen, dann bekommt man die Option zur Deaktivierung der 2FA angeboten, wie @th30ther schreibt.
Ansonsten kann man auch die config.xml (Pfad:
Und danach auf der Shell einmal folgenden Befehl ausführt
Schon ist die 2FA für das WebGUI deaktiviert.
Cheers briggs
Ansonsten kann man auch die config.xml (Pfad:
/conf/config.xml) tweaken, indem man in folgendem Abschnitt den 2FA Provider entfernt und nur noch "Local Database" drin stehen lässt:Und danach auf der Shell einmal folgenden Befehl ausführt
opnsense-shell reloadCheers briggs
