SSH 2FA und RSA Key Ubuntu 20.04

hokaido
Goto Top
Hallo,

ich wollte unter Ubuntu 20.04 neben dem RSA Key (funktioniert) eine 2FA einrichten.

Dazu habe ich diese Schritte durchgeführt
google-authenticator

-Do you want authentication tokens to be time-based (y/n) y

-Do you want me to update your "/home/roman/.google_authenticator" file? (y/n) y

-Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y

-By default, a new token is generated every 30 seconds by the mobile app.
In order to compensate for possible time-skew between the client and the server,
we allow an extra token before and after the current time. This allows for a
time skew of up to 30 seconds between authentication server and client. If you
experience problems with poor time synchronization, you can increase the window
from its default size of 3 permitted codes (one previous code, the current
code, the next code) to 17 permitted codes (the 8 previous codes, the current
code, and the 8 next codes). This will permit for a time skew of up to 4 minutes
between client and server.
Do you want to do so? (y/n) n

-If the computer that you are logging into isn't hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting? (y/n) y

nano /etc/pam.d/sshd
#@include common-auth

And all the way on the bottom add
@include common-password
auth required pam_google_authenticator.so

nano /etc/ssh/sshd_config
ChallengeResponseAuthentication yes
UsePAM yes
AuthenticationMethods publickey,keyboard-interactive

service ssh restart

Wenn ich mich jetzt anmelden will, meckert Putty: No supported authentication methods available (server sent: keyboard-interactive)

Was hab ich falsch gemacht?


Christian
Danke

Content-Key: 662775

Url: https://administrator.de/contentid/662775

Ausgedruckt am: 17.08.2022 um 09:08 Uhr

Mitglied: 147669
147669 15.03.2021 aktualisiert um 18:23:55 Uhr
Goto Top
Zitat von @hokaido:
nano /etc/pam.d/sshd
#@include common-auth
Falsch das bleibt dort drin.
And all the way on the bottom add
@include common-password
auth required pam_google_authenticator.so
Korrekt, nur die letzte Zeile hinzufügen die erste steht ja schon drin.
nano /etc/ssh/sshd_config
ChallengeResponseAuthentication yes
OK.
UsePAM yes
OK
AuthenticationMethods publickey,keyboard-interactive
Das weg und nur
PublicKeyAuthentication yes
setzen
service ssh restart
OK
Wenn ich mich jetzt anmelden will, meckert Putty: No supported authentication methods available (server sent: keyboard-interactive)
Klappt hier nach obiger Methode einwandfrei.
Mitglied: hokaido
hokaido 15.03.2021 um 22:18:32 Uhr
Goto Top
Danke. Es geht aber mit dem gleichen Ergebnis. So ging es vorher auch schon. Es kommt nur die Abfrage des SSH Key Passwortes. Ich wollte aber SSH Key Passwort und 2FA.

Sorry, aber ich fuchse mich hier Schritt für Schritt durch die Tutorials und übe mit Linuxface-smile
Mitglied: 147669
147669 16.03.2021 aktualisiert um 07:38:02 Uhr
Goto Top
Zitat von @hokaido:

Danke. Es geht aber mit dem gleichen Ergebnis. So ging es vorher auch schon. Es kommt nur die Abfrage des SSH Key Passwortes.
Ich wollte aber SSH Key Passwort und 2FA.
Das ist normal,
Beides sind 2FA Methoden, bei der ersten ist das Passwort für den Key der zweite Schlüssel und bei letzterem das Token 😉.
Wenn du den privaten Schlüssel aus dem Verzeichnis raus nimmst fragt er dich dann automatisch nach Kennwort und auch nach dem Token.
Du hast in diesem Fall auch vergessen Passwort Authentication auf no zu setzen.
Mitglied: hokaido
hokaido 16.03.2021 um 07:44:47 Uhr
Goto Top
Danke. Vll. reden wir aneinander vorbei. Ich wollte - wenn es geht - dass beide Abfragen nacheinanderkommen. Erst die Eingabe des SSH Keys, dann die 2FA Abfrage.

Und das funktioniert eben so nicht. Vll. hab ich auch was falsch verstanden und es geht technisch nur ent- oder weder...
Mitglied: 147669
Lösung 147669 16.03.2021 aktualisiert um 08:00:43 Uhr
Goto Top
Zitat von @hokaido:

Danke. Vll. reden wir aneinander vorbei. Ich wollte - wenn es geht - dass beide Abfragen nacheinanderkommen. Erst die Eingabe des SSH Keys, dann die 2FA Abfrage.

Und das funktioniert eben so nicht. Vll. hab ich auch was falsch verstanden und es geht technisch nur ent- oder weder...
Das geht nur entweder oder. Wenn du das so haben willst musst du den privaten Key ohne Passwort versehen dann kommt zusätzlich die Verification Code Abfrage.
Denn wie schon gesagt, beides sind 2FA Verfahren, das was du machen willst ist quasi 4FA.
Mitglied: hokaido
hokaido 16.03.2021 um 08:00:30 Uhr
Goto Top
Ok, danke. Dann hatte ich es tatsächlich falsch verstanden. Eigentlich reicht mir der Key. Das andere wäre nice to have gewesen. Danke!
Mitglied: colinardo
colinardo 16.03.2021 aktualisiert um 12:01:20 Uhr
Goto Top
Zitat von @147669:
Das geht nur entweder oder. Wenn du das so haben willst musst du den privaten Key ohne Passwort versehen dann kommt zusätzlich die Verification Code Abfrage.
ACHTUNG Falschinformation!
Das gewünschte Verhalten ist problemlos realisierbar, genau dafür ist ja PAM so flexibel konfigurierbar face-wink.
Halte dich exakt an die folgende Anleitung dann kommt das problemlos zum fliegen
https://www.digitalocean.com/community/tutorials/how-to-set-up-multi-fac ...
Die Anleitung ist zwar für Ubuntu 16.04, funktioniert aber exakt gleich auf einem 20.04 LTS! Wurde hier nochmal erfolgreich auf einer sauberen Ubuntu 20.04 LTS Server Version verifiziert. Das gleiche ist aber auch bswp. auf einem Debian und anderen Derivaten in ähnlicher Weise konfigurierbar, auch wenn man hier und da aufpassen muss wie die PAM Module verschachtelt sind.

screenshot

Hier noch als Referenz meine genutzten Configs

back-to-top/etc/pam.d/sshd

back-to-top/etc/ssh/sshd_config/sshd


Grüße Uwe
Mitglied: hokaido
hokaido 19.03.2021 um 09:51:57 Uhr
Goto Top
Danke, schaue ich mir am Wochenende an
Mitglied: hokaido
hokaido 19.03.2021 um 22:38:20 Uhr
Goto Top
Also, leider funktioniert das nicht, habe exakt deinen Code reinkopiert

Lediglich den SSH Port habe ich auf einen anderen Port gelegt und bei der /etc/ssh/sshd_config/sshd habe ich am Anfang noch diesen Code

Sonst copy paste.

Fehlermeldung:
PuTTY Fatal Error
No supported authentication methods available (server sent: keyboard-interactive)
OK
---------------------------
Mitglied: 147669
147669 19.03.2021 aktualisiert um 22:50:29 Uhr
Goto Top
Also, leider funktioniert das nicht, habe exakt deinen Code reinkopiert
Also das es offensichtlich geht siehst du ja am Bild von @colinardo oben 🐒. Hab das hier gerade nochmal nachgestellt und es geht tatsächlich
einwandfrei, musst du wohl falsche Settings im PuTTY gesetzt haben, oder dein System ist verbastelt.
/etc/ssh/sshd_config/sshd
Naja wenn du das da rein kopiert hat wundert das ehrlich gesagt nicht, die gibbet nämlich ned🙃
Warte noch ein paar Minuten dann ist Freitag vorbei ...🐟
Mitglied: hokaido
hokaido 19.03.2021 aktualisiert um 22:54:34 Uhr
Goto Top
Ich habs hier reinkopiert:
/etc/ssh/sshd_config

Ich mach das nochmal kurz platt und probiere es morgen nochmal mit eingespielten Snapshot

Und ich wüüste nicht, welche Settings in Putty falsch sein sollten, denn SSH Public key Passwort abfrage alleine funktioniert ja einwandfrei. Nur die Kombi nicht.
Mitglied: hokaido
hokaido 01.04.2021 um 10:05:40 Uhr
Goto Top
Sorry für die späte Rückmeldung.
Ich habs hinbekommen.

Mein Fehler war, dass ich die 2FA natürlich unter root eingerichtet habe, den habe ich aber ja gesperrt.
Habe jetzt unter dem neuen user auch den 2FA Code eingerichtet und die Schritte befolgt, dann gehtsface-smile

Danke nochmalface-smile