SSH absichern: So richtest du 2-Faktor Authentifizerung für SSH unter Raspberry Pi OS/Debian ein

[DMW007]

Zwei-Faktor Authentifizierung hat sich in den letzten Jahren zunehmend etabliert, um den Zugriff auf verschiedene Internetdienste zu schützen. Über ein Authentifizierungsmodul kann man auch den SSH-Zugang mit einem zweiten Faktor schützen. Dieser Beitrag erklärt grob die Funktionsweise von 2FA und zeigt die Einrichtung auf dem Raspberry Pi OS. Unter Debian funktioniert es aber genau so. Zur Textversion im Portal.

[U-Labs YouTube]

Ahoi, tolles Video über eine sehr sehr wichtige Funktion wie ich finde. Allerdings unterläuft dir beim Punkt "Do you want to disallow multiple uses of the same authentication token?" ein Fehler bzw. weichst du von deiner Anleitung auf deiner Internetseite ab. Es wird ja gefragt, ob man die mehrfache Nutzung eines Tokens verbieten möchte. Im Video gibst du mit "n" nein an und erlaubst aber somit die mehrfache Benutzung eines Token, sprichst aber von verbieten, während du in der Anleitung auf deiner HP "y" setzt, was letztlich korrekt ist, um die mehrfache Nutzung zu verbieten.

---

Kommentar von Der Astronaut.

[DMW007]

Hi,
das stimmt, da hatte ich mich im Video vertan. Ich habe im Artikel einen Hinweis auf den Fehler im Video ergänzt und werde deinen Kommentar unter dem Video anheften. Danke für den Hinweis und dein Feedback! :)

[U-Labs YouTube]

Extrem hilfreiche Videos! Sowas wird sicherlich bald in vielen Klassen in ganz Deutschland, Österreich und der Schweiz gezeigt. Unfassbar.

---

Kommentar von Erik Uden.

[DMW007]

Das freut mich, danke! :)
Dass meine Beiträge mal den Weg in Schulen finden, daran habe ich noch gar nicht gedacht. Wird dort (ggf. durch Corona?) mittlerweile mehr in der Richtung gemacht? Meine Schulzeit in DE liegt noch nicht so lange zurück, das war in der Hinsicht ziemlich überschaubar und von meiner Erwartung her auch enttäuschend: Selbst an Berufsschulen werden mMn essenzielle Dinge nur sehr spärlich oder gar nicht behandelt. Damit meine ich nicht mal Themen wie 2FA wo man ggf. diskutieren kann, ob und wo das schon zu den Grundlagen gehört. Sondern z.B. Fachinformatiker in Fachrichtung Anwendungsentwicklung, die nicht eine Unterrichtsstunde zu Versionsverwaltung erhalten haben...

[U-Labs YouTube]

Sehr gutes Video und macht sicher sehr viel Sinn für Zugänge, die über das Internet erreichbar sind. Solche kritische Dienste, die im Homelab laufen, sollte man ausschließlich per VPN erreichen.

---

Kommentar von leachimus.

[U-Labs YouTube]

Stimme Ich genau zu. Git und GitLab/GitHub sind leider essenziell in der heutigen Zeit. Zudem: Ich weiß bereits von Fällen wo deine / eure Videos zum Thema SSH im Unterricht gezeigt wurden. Nicht 2FA, aber irgendein Thema in dem SSH erklärt wurde. Man hat keine so große Auswahl wenn es zu deutschen Videos über solche Themen kommt, deswegen bietet sich ein neues Video, hochgeladen auf hochdeutsch mit professionellen Animationen echt gut an. Also wirklich, bitte weiter so! Der Informatikunterricht auf Gymnasien, sowie auch das Ausbilden zum Fachinformatiker, soll echt langweilig sein. Klar kann man sagen, dass die englische Sprache bei Technik leider mit kommt, aber Ich finde in einer Welt in der sich das etwas ändert hätten wir definitiv mehr deutsche Informatiker, also danke für diese sehr guten Erklärungen zu div. Themen! Wünsche Ihnen noch eine sehr gute Zukunft, die werden Sie, mit einem Kanal so hochwertig wie diesen, definitiv haben!

---

Kommentar von Erik Uden.

[DMW007]

Überraschend aber schön zu hören, dass die Beiträge so gut ankommen und sogar bereits den Weg in Schulen gefunden haben! Git und GitLab/GitHub würde ich nicht auf eine Stufe stellen. Git ist mMn ein sinnvolles und unerlässliches Werkzeug in der Softwareentwicklung. GitHub und GitLab sind umstritten, im Falle von GitLab zumindest die in der "Cloud" gehostete Variante, das kann man im Gegensatz zu GitLab ja auch selbst betreiben. Gegen die Cloud-Instanzen gibt es ein paar gute Gründe, in dem Fall kann man einen Git-Server auch selbst betreiben. Sogar mit einem Raspberry Pi, ein entsprechender Beitrag dazu steht noch auf meiner Themenliste. Zur Not kann man Git-Repositories ganz ohne Server betreiben, wenngleich es auch ein paar Nachteile hat. Einen Grundlagenbeitrag zu Git sollte ich an der Stelle vielleicht auch mal auf die Themenliste packen, das würde in dem Kontext als Ergänzung wohl Sinn machen.

Dass man v.a. beim Einstieg lieber Deutsche Inhalte möchte, kann ich verstehen. Vor allem Anfangs fand ich das selbst auch anstrengend, wenn man nicht nur ein neues Thema hat, sondern dazu auch noch eine Fremdsprache mit dazu kommt. Wer gut in Englisch ist tut sich dabei sicher etwas leichter, aber auch da stolpert man je nach Thema mehr oder weniger schnell über Fachbegriffe, womit das Lesen und Verstehen stressiger ist. Wird mit der Zeit und damit einhergehenden Erfahrung besser, da man sich mehr herleiten kann und nebenbei auch die Kenntnisse in Englisch allgemein verbessert werden. Aber gerade als Anfänger ist das schon schwieriger. Es gibt ein paar die Texte und/oder Videos auf Deutsch veröffentlichen, aber die riesige Szene ist es nicht, das stimmt. Da sind wir leider auch nicht das fortschrittlichste Land. Zeigt sich immer wieder an Beispielen, wie z.B. jüngst der Informatikerin, die der CDU eine schwere Sicherheitslücke in deren Wahlkampfapp meldet, und als Danke dafür angezeigt wird. In anderen Ländern würde man sich bei so jemandem großzügig Bedanken und anschließend ein gut bezahltes Jobangebot anbieten.

Solche und andere Vorfälle ermutigen nicht unbedingt dazu, öffentlichkeitswirksam aktiv zu werden. Vor allem wenn es um Sicherheit geht, aber einiges auch generell. Warten wir mal ab, was die Ampel-Regierung unternimmt. Großteils sehen deren Ziele in diesem Bereich ja recht positiv aus. Bleibt zu hoffen, dass sie einiges davon auch tatsächlich umsetzen. Würde nicht nur der Medienlandschaft sondern Deutschland als ganzes gut tun. Wir haben durchaus fähige Leute die zumindest Potenzial mitbringen, aber einiges ist leider darauf ausgelegt, diese eher zu blockieren statt zu fördern.

[U-Labs YouTube]

Wäre toll, falls es auch noch mal ein Video für entsprechende Sicherheits-Token wie Yubikey oder den deutschen Nitrokey geben könnte. Sicherlich kosten solche Token etwas Geld, aber scheinen durchaus praktisch zu sein.

---

Kommentar von Pepperpot666.

[DMW007]

In gewisser Hinsicht sind solche Sticks sogar sicherer. Zumindest wenn man davon ausgeht, dass die Implementierungen sauber sind. Bei Smartphones ist die Lage ja ziemlich durchwachsen. Manche sind mit fragwürdigen Apps zugemüllt. Teils bekommen die Geräte nicht regelmäßig Updates. Tendenziell bei günstigeren Geräten kann es sogar passieren, dass Neugeräte bereits veraltet sind und der Hersteller überhaupt kein Geld mehr für (Sicherheits-)Aktualisierungen investiert.

Vor allem unter den Umständen sind solche Smartphones ein leichteres Ziel. Trotzdem ist es (v.a. für Nutzer in kleinerem Rahmen) immer noch ein effektiver Sicherheitsgewinn, sofern man diese Geräte wirklich als zweiten Faktor nutzt - also die SSH-Verbindung am PC/Laptop aufbaut, und nicht am Handy. Denn selbst mit einem verwundbaren Smartphone ist es für Angreifer immer noch ein Mehraufwand. Den werden viele Scheuen, weil es ja leichtere Ziele gibt - zumindest bei nicht gezielten Angriffen.

Nitrokey kannte ich noch gar nicht, sieht interessant aus. Auf den ersten Blick würde der "Nitrokey Start" für 37€ inkl. Versand bereits reichen, um SSH-Verbindungen abzusichern. Müsste man sich im Detail dann noch mal anschauen, was die weiteren Unterschiede zu den anderen Modelle sind. Derzeit ist in dem Shop ja ohnehin das meiste ausverkauft. Ich habe es mal auf meine Themenliste gesetzt, wenn ich Budget übrig habe schaue ich mir das mal an. Danke für den Hinweis!