[Tutorial]Metin2 Server mit OTP absichern

TheRzR · 12/05/2012, 11:06

Hey Leute,
ich möchte euch erklären wie ihr ein OTP System bei eurem SSH Login benutzen könnt.

Es ist wie beim OnlineBanking mit der TAN liste...

Google hat da ein echt gutes und einfaches modul für Linux & Unix entwickelt
Hier die funktionsweise + Angriffsszenario:
Mit OTP

Ohne OTP

Vorteil:
-Sehr sicher auch bei "Man-in-the-Middle" angriffen
-Selbst bei Root PW klau ist euer Server immer noch sicher

Nachteil:
-Man brauch ein Smartphone
-Filezilla bissel mehr umständlicher

Anleitung für FreeBSD:

1. Ports aktualisieren
2. Diese Befehle ausführen

Code:

cd /usr/ports/graphics/libqrencode
make && make install && make clean
cd /usr/ports/security/pam_google_authenticator
make && make install && make clean

3. Google Authenticator installiern (Andoird: im PlayStore suchen | iShit: im Store suchen)
4. Normal einloggen z.b. in root
5. Diesen Befehl eingeben

Code:

google-authenticator

6. Dann bekommt ihr sowas:

Spoiler

6.1 Entweder du Scannst den QR Code oder
6.2 Du gibst unter dem QR Code den SecretKey direkt im handy ein
7. In der Datei /etc/pam.d/sshd ganz zum schluss das einfügen:

Code:

auth     optional     /usr/local/lib/pam_google_authenticator.so

8. In der Datei /etc/ssh/sshd_config folgende sachen ändern:

Code:

PasswordAuthentication yes
ChallengeResponseAuthentication yes
UsePAM yes

Es darf auch kein # vor den Zeilen sein!
9. Das eingeben:

Code:

fetch -o ssh.tar.gz   ftp://ftp3.usa.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-6.1p1.tar.gz

tar -xzvf ssh.tar.gz
cd openssh-6.1p1 

./configure --with-md5-passwords --prefix=/usr --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local --with-tcp-wrappers --with-ssl-engine --with-pam

make && make install clean
cd .. && rm -rf openssh-6.1p1
/etc/rc.d/sshd restart

10. Jetzt klickt ihr oben bei Putty auf rechtsklick
10.1 Duplicate Session
10.2 Und Probierts mal aus

Bei der App werden immer neue Codes generiert. Den Code kann man dann nur 1x benutzen.

FileZilla Tutorial:

Spoiler

ACHTUNG! DIESE TUTORIAL IST NICHTS FÜR ANFÄNGER! ES KANN SOGAR SEIN DAS IHR EUCH AUS EUREM SERVER AUSSPERRT. ICH ÜBERNEHME KEIN HAFTUNG UND ERKLÄRE EUCH NUR WIE ES BEI MIR GEKLAPPT HAT! ICH MACHE DAFÜR AUCH KEIN SUPPORT.

idefitze · 12/05/2012, 13:52

Versteh ich net

TheRzR · 12/05/2012, 15:14

Quote:

Originally Posted by idefitze

Versteh ich net

Quote:

Originally Posted by xMegaMan

ACHTUNG! DIESE TUTORIAL IST NICHTS FÜR ANFÄNGER!

Lesen...

.Onlyx3 · 12/05/2012, 15:23

da finde ich die Keyfileverbindung sicherer

TheRzR · 12/05/2012, 15:27

und wo ist deine keyfile im standart dir im Windows PC...

Es ist deswegen besser weil Android/iShit getrennt von PC arbeiten.

#update: Mit VISIO beispiel bilder gemacht. Ich mache noch ein Video mit einer Demonstration.

vıo · 12/05/2012, 16:00

Die Technik war mir bereits bekannt, trotzdem danke fürs teilen, es wird einigen sicher weiterhelfen ^^

~~Perfection-~~ · 12/05/2012, 16:08

sprich bei jedem einlogen bekommst du ein neuen code auf dein handy bzw in die app?

oder verstehe ich das falsch?

TheRzR · 12/05/2012, 16:11

Quote:

Originally Posted by .Xero

sprich bei jedem einlogen bekommst du ein neuen code auf dein handy bzw in die app?

oder verstehe ich das falsch?

Du musst sogar dir einen neuen Code generieren lassen. Alte Codes kannst du nicht mehr benutzen

~~Perfection-~~ · 12/05/2012, 16:17

ist doch perfekt ist quasi wie bei onlinebanking nur da wird es TAN genannt. Finde so vom konzept her eigentlich sehr sicher so wie ich es sehe weil man halt jedesmal neuen code bekommt.

danke für das tut

Lewfire · 12/05/2012, 16:17

Quote:

Originally Posted by xMegaMan

Du musst sogar dir einen neuen Code generieren lassen. Alte Codes kannst du nicht mehr benutzen

Das ist mal was nützliches Danke ich finde sicherer geht es nicht. Danke.

TheRzR · 12/05/2012, 16:17

Ja genau! Wie beim Online Banking mit TAN!

~~DeadBreakZz~~ · 12/05/2012, 20:43

funkt nette sache.

TheRzR · 12/06/2012, 10:38

danke fürs feedback

TheTutMan · 12/06/2012, 12:33

Hört sich sehr Sicher an danke für das Tutorial.

Du hast vergessen bei dem Bild bei Filezilla "Passwort eingeben" den Server namen zur zensieren oder war das mit Absicht so ? Weil bei anderen hast du es ja auch zensiert^^

TheRzR · 12/06/2012, 13:51

Quote:

Originally Posted by TheTutMan

Hört sich sehr Sicher an danke für das Tutorial.

Du hast vergessen bei dem Bild bei Filezilla "Passwort eingeben" den Server namen zur zensieren oder war das mit Absicht so ? Weil bei anderen hast du es ja auch zensiert^^

wollte es zensieren, war dann zufaul :P