Hey Leute,
ich möchte euch erklären wie ihr ein OTP System bei eurem SSH Login benutzen könnt.
Es ist wie beim OnlineBanking mit der TAN liste... :)
Google hat da ein echt gutes und einfaches modul für Linux & Unix entwickelt
Hier die funktionsweise + Angriffsszenario:
Mit OTP
[Only registered and activated users can see links. Click Here To Register...]
Ohne OTP
[Only registered and activated users can see links. Click Here To Register...]
Vorteil:
-Sehr sicher auch bei "Man-in-the-Middle" angriffen
-Selbst bei Root PW klau ist euer Server immer noch sicher
Nachteil:
-Man brauch ein Smartphone
-Filezilla bissel mehr umständlicher
Anleitung für FreeBSD:
1. Ports aktualisieren
2. Diese Befehle ausführen
3. Google Authenticator installiern (Andoird: im PlayStore suchen | iShit: im Store suchen)
4. Normal einloggen z.b. in root
5. Diesen Befehl eingeben
6. Dann bekommt ihr sowas:
6.1 Entweder du Scannst den QR Code oder
6.2 Du gibst unter dem QR Code den SecretKey direkt im handy ein
7. In der Datei /etc/pam.d/sshd ganz zum schluss das einfügen:
8. In der Datei /etc/ssh/sshd_config folgende sachen ändern:
Es darf auch kein # vor den Zeilen sein!
9. Das eingeben:
10. Jetzt klickt ihr oben bei Putty auf rechtsklick
10.1 Duplicate Session
10.2 Und Probierts mal aus
Bei der App werden immer neue Codes generiert. Den Code kann man dann nur 1x benutzen.
FileZilla Tutorial:
ACHTUNG! DIESE TUTORIAL IST NICHTS FÜR ANFÄNGER! ES KANN SOGAR SEIN DAS IHR EUCH AUS EUREM SERVER AUSSPERRT. ICH ÜBERNEHME KEIN HAFTUNG UND ERKLÄRE EUCH NUR WIE ES BEI MIR GEKLAPPT HAT! ICH MACHE DAFÜR AUCH KEIN SUPPORT.
ich möchte euch erklären wie ihr ein OTP System bei eurem SSH Login benutzen könnt.
Es ist wie beim OnlineBanking mit der TAN liste... :)
Google hat da ein echt gutes und einfaches modul für Linux & Unix entwickelt
Hier die funktionsweise + Angriffsszenario:
Mit OTP
[Only registered and activated users can see links. Click Here To Register...]
Ohne OTP
[Only registered and activated users can see links. Click Here To Register...]
Vorteil:
-Sehr sicher auch bei "Man-in-the-Middle" angriffen
-Selbst bei Root PW klau ist euer Server immer noch sicher
Nachteil:
-Man brauch ein Smartphone
-Filezilla bissel mehr umständlicher
Anleitung für FreeBSD:
1. Ports aktualisieren
2. Diese Befehle ausführen
Code:
cd /usr/ports/graphics/libqrencode make && make install && make clean cd /usr/ports/security/pam_google_authenticator make && make install && make clean
4. Normal einloggen z.b. in root
5. Diesen Befehl eingeben
Code:
google-authenticator
6.1 Entweder du Scannst den QR Code oder
6.2 Du gibst unter dem QR Code den SecretKey direkt im handy ein
7. In der Datei /etc/pam.d/sshd ganz zum schluss das einfügen:
Code:
auth optional /usr/local/lib/pam_google_authenticator.so
Code:
PasswordAuthentication yes ChallengeResponseAuthentication yes UsePAM yes
9. Das eingeben:
Code:
fetch -o ssh.tar.gz ftp://ftp3.usa.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-6.1p1.tar.gz tar -xzvf ssh.tar.gz cd openssh-6.1p1 ./configure --with-md5-passwords --prefix=/usr --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local --with-tcp-wrappers --with-ssl-engine --with-pam make && make install clean cd .. && rm -rf openssh-6.1p1 /etc/rc.d/sshd restart
10.1 Duplicate Session
10.2 Und Probierts mal aus
Bei der App werden immer neue Codes generiert. Den Code kann man dann nur 1x benutzen.
FileZilla Tutorial:
ACHTUNG! DIESE TUTORIAL IST NICHTS FÜR ANFÄNGER! ES KANN SOGAR SEIN DAS IHR EUCH AUS EUREM SERVER AUSSPERRT. ICH ÜBERNEHME KEIN HAFTUNG UND ERKLÄRE EUCH NUR WIE ES BEI MIR GEKLAPPT HAT! ICH MACHE DAFÜR AUCH KEIN SUPPORT.
