[2FA] Linux SSH

  • Hallo liebe community,

    ich wollte euch mal Fragen ob es möglich wäre das bei jedem Login ein e 2FA Bestätigung verlangt wird.

    Wie ich das ganze umsetzen soll weiß ich nicht, doch habe ein apt paket dafür gefunden.


    Paket(PAM-Modules): libpam-google-authenticator


    Und noch eine Frage wäre dies überhaupt eine sicher Maßnahme? Oder könnte man dies sage ich mal irgendwie Umgehen?


    Mit freundlichen Grüßen

    MaHo

    Du willst mich kennenlernen? Kauf mein Buch, Bia*ch!


  • Hatte es kurz in einer VM auf meinem Dedi gehabt und rumgetestet und eigentlich soweit keine Probleme.


    Für meinen Mainserver habe ich das ganze noch nicht aufgesetzt aus reiner Faulheit. War mir nicht sicher ob es ssh key kompatibel ist

  • Ich würde dir auch eher zu einem Public Key greifen anstatt auf einen 2FA.


    Den Public Key kannst dir ja irgendwo auf ein Stick ablegen und niemand hat mehr Zugriff auf deinem Server.


    LG, DomeTastisch.

    Mich interessiert nicht, wessen Schuld es ist, vor allem nicht, wenn es meine eigene ist!

  • Ich würde dir auch eher zu einem Public Key greifen anstatt auf einen 2FA.


    Den Public Key kannst dir ja irgendwo auf ein Stick ablegen und niemand hat mehr Zugriff auf deinem Server.


    LG, DomeTastisch.

    Ob das einer oder das andere ist egal, obwohl die 2fa sicherer wäre, da die Gefahr besteht das dein PC von einem Virus befallen ist und der ssh key gestohlen. Bei 2fa aufm handy wird das eher schwieriger

  • Und dann verabschiedet sich sein Handy und nu?

    Hat er auch keinen Zugang mehr.


    Was wird eher passieren? Virus auf dem Rechner und ein Defektes Handy?

    Denke eher an das Defekte Handy, außer er Tummelt sich auf sehr komischen rein. :D


    Am Ende des Tages, beide Methoden sind Sicher, welche er davon wählt, hängt nun von Ihm selbst ab.


    LG:

    Mich interessiert nicht, wessen Schuld es ist, vor allem nicht, wenn es meine eigene ist!

  • es gibt BackupCodes.


    da finde ich doch 2FA sicher.

    1. Zum Entsperren meines Handys wird ein Code verlagt.

    2. Zum Öffnen der google 2FA App wird ein code verlangt.

    3. Zum verbinden via SSH wird ein Root Passwort verlangt.

    Du willst mich kennenlernen? Kauf mein Buch, Bia*ch!


  • 2FA Backup Codes, welches Backup hast du wenn dein USB kaputt geht?

    USB stick kann kapput gehen doch etwas was ich auf ein Blatt schreibe und zuhause sicher verschließe kann nicht so leicht kapput gehen.


    //edit außdem lege ich sehr viel wert an wenn es um Sicherheit geht, deswegen währe es kein Problem so einen BackupCode auswendig zulernen, schließlich können wir unsere Telefonnummer auch auswendig und der sicherste Speicher ist der Menschliche gehirn.

    Du willst mich kennenlernen? Kauf mein Buch, Bia*ch!


  • do.de - Domain-Offensive - Domains für alle und zu super Preisen
    • Offizieller Beitrag
    • Hilfreich

    Ich finde die 2-Faktor-Authentifizierung in diesem Fall zu unpraktikabel, so oft wie ich mich in meine Server via SSH oder SCP einlogge würde mich das ständige Code generieren schon nach kurzer Zeit nerven, da bleib ich lieber bei meinem SSH Key welchen ich einfach als Backup in den Speicher meines iPhones geladen habe - der ist abgesehen von physischem Ausfall quasi unangreifbar für Viren, Hacker etc.


    „Nicht das, was du nicht weißt, bringt dich in Schwierigkeiten, sondern dass, was du sicher zu wissen glaubst, obwohl es gar nicht wahr ist.“
    Mark Twain

    ---
    ICH BIN NUR HIER UM LEUTE ANZUSCHREIEN

  • Ich selbst bevorzuge ebenfalls die Authentifizierung über einen Key.

    So oft wie man sich an- und abmeldet, wird man irgendwann sowieso die Lust daran verlieren, wenn man ständig auf sein Handy angewiesen ist.

    Das Handy kann man z.B. auch zu Hause vergessen wenn man gerade unterwegs ist, dann ist sowieso aus die Maus.


    Nennenswert ist auch der zeitliche Aufwand, einen Key zu installieren.

    Gerade bei Linux-basierenden (oder ähnlichen) Systemen ist das gerade zu ein Kinderspiel.


    Wie in jedem Fall: Jedem das seine. Wenn du meinst, du brauchst es erstmal nur für die Einrichtung und der Zugang ist dir später Banane, dann kannst du das natürlich auch so handhaben.