Linux Desktop mit Google-Authenticator absichern

lightdm/gdm und ssh

Eine Zwei-Faktor-Authentifizierung für den Login an einem Linux-Desktop lässt sich mit dem Google Authenticator ziemlich einfach einrichten.

Dazu kann unter Fedora das Paket google-authenticator installiert werden.

dnf install google-authenticator

Nach der Installation muss der Google Authenticator als der Benutzer ausgeführt werden, bei welchem die Zwei-Faktor-Authentifizierung verwendet werden soll.

google-authenticator

Hier wird dann ein QR-Code angezeigt, welcher mit einer App auf dem Smartphone eingescannt wird. Als App ist hier Authy zu empfehlen. Zudem werden die Recovery-Codes ausgegeben. Diese sollten sicher aufbewahrt werden um noch Zugriff auf das System zu haben, wenn das Smartphone verloren geht.

lightdm/gdm

Damit beim Login der Zweite Faktor abgefragt wird ist in der /etc/pam.d/lightdm bzw. /etc/pam.d/gdm-password folgender Eintrag einzufügen .

auth required pam_google_authenticator.so

Beim nächsten Login wird dann nach der Eingabe des Passworts beim Loginscreen nach dem Verification code gefragt.

ssh

Um bei ssh einen Zweiten Faktor einzurichten, muss in der /etc/pam.d/sshd auch der Google Authenticator eingetragen werden.

auth required pam_google_authenticator.so

Zudem ist in der /etc/ssh/sshd noch die Option

ChallengeResponseAuthentication yes

von no auf yes zu ändern. Zum Schluss noch den sshd neu starten und man wird auch beim Login über ssh nach einem Verification code gefragt.

comments powered by Disqus