{"id":8321,"date":"2022-01-23T15:44:28","date_gmt":"2022-01-23T13:44:28","guid":{"rendered":"https:\/\/u-labs.de\/portal\/?p=8321"},"modified":"2022-12-12T16:56:03","modified_gmt":"2022-12-12T14:56:03","slug":"ssh-absichern-2-faktor-authentifizierung-auf-dem-raspberry-pi-os-debian-einrichten","status":"publish","type":"post","link":"https:\/\/u-labs.de\/portal\/ssh-absichern-2-faktor-authentifizierung-auf-dem-raspberry-pi-os-debian-einrichten\/","title":{"rendered":"SSH absichern: 2-Faktor Authentifizierung auf dem Raspberry Pi (OS)\/Debian einrichten"},"content":{"rendered":"

Immer mehr Dienste bieten 2-Faktor Authentifizierung an, um Zug\u00e4nge zu sch\u00fctzen – Google, GitHub, Twitter und Steam sind nur einige Beispiele von vielen. Wir schauen uns heute an, wie 2-Faktor funktioniert und wie du es auf deinem Raspberry Pi oder auch jedem anderen Debian-System einrichten kannst, um den SSH-Zugang damit abzusichern.<\/p>\n

Was ist 2-Faktor Authentifizierung \u00fcberhaupt?<\/h2>\n

Klassischerweise authentifiziert man sich mit einem Schl\u00fcssel oder Passwort. Das hat einen gro\u00dfen Nachteil: Ger\u00e4t dieses Kennwort in falsche H\u00e4nde, kann der Angreifer den Zugang beliebig missbrauchen. Mit der 2-Faktor Authentifizierung kommt ein zweiter Faktor dazu. Das Passwort oder der SSH-Schl\u00fcssel ist etwas, das ich wei\u00df. Das kombiniert man z.B. mit etwas, das ich habe, wie eine bestimmte App auf einem Smartphone.<\/p>\n

Fast jeder hat schon einmal eine 2-Faktor Authentifizierung genutzt: Wer Beispielsweise Geld abhebt, muss Karte und Pin-Code angeben. Und auch f\u00fcrs Onlinebanking ben\u00f6tigt man neben den Zugangsdaten einen Code, der oft aufs Handy gesendet wird. <\/p>\n

Jemand der nur Pin bzw. Password ergaunert hat, kann sich nicht einloggen. Daf\u00fcr braucht der Angreifer Zugriff auf den zweiten Faktor, also etwa eine EC-Karte, dem Handy, TAN-Generator oder einem anderen Ger\u00e4t. Dies ist deutlich schwieriger.<\/p>\n

Was ben\u00f6tige ich, um SSH mit 2-Faktor Authentifizierung zu sch\u00fctzen?<\/h2>\n

Es macht daher Sinn, auch einen SSH-Zugang mit einem zweiten Faktor abzusichern. Hier gibt es verschiedene Methoden. Etwa ein Yubikey, der an den USB-Anschluss angesteckt werden muss und die Anmeldung freigibt. Die einfachste und g\u00fcnstigste Variante besteht in einer Smartphone-App. Sie zeigt uns einen Code an, den wir nach der Anmeldung mit SSH-Schl\u00fcssel bzw. Passwort zus\u00e4tzlich eingeben m\u00fcssen. Ansonsten verweigert der SSH-Server die Verbindung. Vor allem wenn SSH direkt \u00fcbers Internet erreichbar ist, macht das Sinn.<\/p>\n

Hierf\u00fcr werden die offenen Standards HOTP <\/strong>und TOTP <\/strong>verwendet. Verschiedene Apps binden sie auf dem Smartphone ein: Ich habe FreeOTP genutzt, eine freie und quelloffene App f\u00fcr Android und iOS<\/a>. Sie wird von Red Hat gesponsert, aber leider seit geraumer Zeit nicht mehr aktualisiert. Neben anderen Open Source Alternativen wie z.B. andOTP<\/a> gibt es auch propriet\u00e4re Apps von Google. Eine davon wird auf eurem Smartphone ben\u00f6tigt. <\/p>\n

Vorbereitung: Stimmen die Uhren?<\/h2>\n

Da jeder Code nur 30 Sekunden lang g\u00fcltig ist, spielt die Uhrzeit eine wichtige Rolle bei dieser Art der 2-Faktor Authentifizierung: Sowohl der Pi als auch euer Handy sollten m\u00f6glichst die gleiche, genaue Uhrzeit verwenden. Beim Handy erreicht ihr das in der Regel mit der Zeit aus dem Mobilfunknetz. Um sicherzustellen, dass dieser Abgleich aktiviert ist, sucht in den Einstellungen nach Uhrzeit<\/em><\/p>\n

\n
\"\"<\/a><\/figure>\n<\/div>\n

Dort sollte es einen Schalter geben, um die Synchronisation aus dem Netzwerk zu aktivieren, falls diese nicht bereits eingeschaltet ist:<\/p>\n

\n
\"\"<\/a><\/figure>\n<\/div>\n

Auf dem Raspberry Pi l\u00e4sst sich die Zeit mit dem Befehl date<\/strong> pr\u00fcfen. Hier sollte eure lokale Zeit erscheinen:<\/p>\n

\n
\n$ date\nSun 23 Jan 11:39:10 CET 2022\n<\/pre>\n<\/div>\n
Standardm\u00e4\u00dfig gleicht das Raspberry Pi OS die Zeit mit einem Zeitserver von Debian ab – das ist notwendig, da der Pi im Gegensatz zu X86 PCs\/Laptops keine Hardwareuhr besitzt und daher auf eine externe Quelle f\u00fcr die exakte Uhrzeit angewiesen ist. <\/p>\n
Allerdings kann es dennoch sein, dass die angezeigte Uhrzeit aufgrund einer falschen Zeitzone nicht stimmt. Standardm\u00e4\u00dfig nutzt das Raspberry Pi OS n\u00e4mlich Gro\u00dfbritannien als Zeitzone, dort gibt es im Vergleich zur Deutschen Winterzeit eine Stunde Versatz. Die Zeitzone l\u00e4sst sich \u00fcber raspi-config anpassen, wie ich in diesem Beitrag bereits gezeigt hatte.<\/a><\/p>\n
Wie richte ich 2-Faktor Authentifizierung auf dem Raspberry Pi ein?<\/h2>\n
Anschlie\u00dfend folgt die wichtigste Komponente: Ein Modul, welches die 2-Faktor Anmeldung in den SSH-Server integriert. Dies stammt von Google, ist aber quelloffen auf GitHub verf\u00fcgbar.<\/p>\n
\n
\nsudo apt-get install libpam-google-authenticator\n<\/pre>\n<\/div>\n
Andere Distributionen haben eigene Namen f\u00fcr das Paket, CentOS nennt es etwa nur google-authenticator<\/strong>. Nach der Installation starten wir das Programm zur Ersteinrichtung:<\/p>\n
\n
\ngoogle-authenticator\n<\/pre>\n<\/div>\n
Hinweis<\/strong>: Die Konfiguration ist f\u00fcr den Nutzer g\u00fcltig, mit dem der Befehl ausgef\u00fchrt wird. Nur dieses Konto kann sich dadurch mit 2FA anmelden. Du solltest daher kein sudo<\/strong> verwenden, au\u00dfer du m\u00f6chtest 2FA f\u00fcr den root-Account einrichten. Davon ist generell abzuraten und ein normaler, nicht privilegiertes Konto zu bevorzugen. Falls du mehrere Konten verwendest, musst du also den Authenticator f\u00fcr jedes Konto einrichten oder per z.B. su<\/strong> zu einem anderen Konto wechseln.<\/p>\n
Die erste Frage Do you want authentication tokens to be time-based (y\/n)<\/strong><\/em> empfiehlt sich, mit y f\u00fcr Ja zu beantworten. Das erh\u00f6ht die Sicherheit, da die Codes nur begrenzt g\u00fcltig sind. Anschlie\u00dfend \u00f6ffnet ihr die App (z.B. andOTP, FreeOTP oder eine andere) und sucht nach einem QR-Code Knopf. Scannt damit den QR Code, der euch auf der Konsole angezeigt wird. Dadurch erscheint ein neuer Eintrag in der App. Tippt anschlie\u00dfend darauf, dann erscheint ein Ziffercode. Gebt diesen vor Ablauf der G\u00fcltigkeit (links) in die Konsole ein.<\/p>\n
Auf der Konsole sind mehrere „emergency scratch codes“ zu sehen. Damit k\u00f6nnt ihr die 2-Faktor Authentifizierung umgehen, falls z.B. euer Handy kaputt oder verloren geht. Bewahrt sie an einem sicheren Ort auf, etwa im Passwortsafe. Anschlie\u00dfend beantwortet ihr die Frage, ob die Authenticator Konfigurationsdatei aktualisiert werden soll, mit y<\/strong> f\u00fcr Ja.<\/p>\n
Die n\u00e4chste Frage des Assistenten lautet: Do you want to disallow multiple uses of the same authentication token?<\/strong><\/em> Auch dies empfiehlt sich, aus Sicherheitsgr\u00fcnden mit y<\/strong> zu beantworten. Die Limitierung auf einen Login alle 30 Sekunden sollte in der Regel kein Problem darstellen.<\/p>\n
\nHinweis: Im Video wurde an dieser Stelle f\u00e4lschlicherweise „n“ angegeben. Korrekt ist die Erkl\u00e4rung an dieser Stelle: Mit „n“ deaktiviert man die mehrfache Verwendung eines Codes und erh\u00f6ht somit die Sicherheit. „y“ w\u00fcrde es dagegen erlauben, einen Code mehrmals zu nutzen.\n<\/div>\n
Nun geht es darum, wie viele abgelaufene Codes erlaubt sind. Am sichersten ist es, nur 3 (das aktuelle und jeweils eines davor\/danach) zuzulassen – das wird durch die Eingabe von n<\/strong> eingestellt. Daf\u00fcr m\u00fcssen die Uhren aber genau gestellt sein (am besten per NTP auf dem Pi), da somit nur Zeitabweichungen von maximal 30 Sekunden m\u00f6glich sind. Man kann dies aber auch mit y<\/strong> auf 17 Codes (8 vorherige, das aktuelle und 8 zuk\u00fcnftige) erweitern. In diesem Falle sind Zeitabweichungen von bis zu 4 Minuten kein Problem. <\/p>\n
Mit Do you want to enable rate-limiting?<\/strong><\/em> kann man die Anmeldeversuche auf 3 St\u00fcck pro 30 Sekunden limitieren. Das ist sicherheitstechnisch sinnvoll und w\u00fcrde ich mit y <\/strong>aktivieren.<\/p>\n
Damit ist die Konfiguration der Erweiterung abgeschlossen. Damit sie auch genutzt wird, m\u00fcssen wir sie noch im Authentifizierungsmodul aktivieren. Dazu die Datei \/etc\/pam.d\/sshd <\/strong>mit einem Texteditor (z.B. vim, nano) \u00f6ffnen:<\/p>\n
\n
\nsudo vim \/etc\/pam.d\/sshd\n<\/pre>\n<\/div>\n
und folgende Zeile an das Ende anf\u00fcgen:<\/p>\n
\n
\nauth required pam_google_authenticator.so\n<\/pre>\n<\/div>\n
Sie erzwingt die Verwendung von 2FA im Authentifigierungsmodul. Damit SSH darauf zur\u00fcckgreift, \u00f6ffnen wir anschlie\u00dfend die Konfigurationsdatei des SSH-Servers:<\/p>\n
\n
\nsudo vim \/etc\/ssh\/sshd_config\n<\/pre>\n<\/div>\n
Darin nach dem Eintrag ChallengeResponseAuthentication <\/strong>suchen und diesen vom Standardwert no<\/strong> auf yes<\/strong> stellen. Die \u00c4nderungen werden nach einem Neustart des Dienstes vom SSH-Server wirksam:<\/p>\n
\n
\nsudo systemctl restart sshd\n<\/pre>\n<\/div>\n
Testen der 2-Faktor Authentifizierung<\/h2>\n
Ihr solltet die noch offene SSH-Sitzung NICHT <\/strong>schlie\u00dfen! Falls aus irgend einem Grund der Login nicht funktionieren sollte, kann man die bestehende Sitzung verwenden, um das Problem zu suchen und zu l\u00f6sen. \u00d6ffnet daher eine neue <\/strong>SSH-Verbindung und teste zun\u00e4chst, ob der Login funktioniert.<\/p>\n
Hat alles geklappt, solltest du zuerst nach dem SSH-Passwort (1) gefragt werden. Bevor eine Konsolen-Sitzung ge\u00f6ffnet wird, folgt der Verifizierungscode (2). Um diesen zu erhalten, die App \u00f6ffnen und den automatisch erstellten Eintrag antippen. Die Uhr an der Seite zeigt an, wie viel Zeit dir noch bleibt, um den Code einzugeben. Nach dem Best\u00e4tigen mit <Enter> hast du eine normale SSH-Sitzung:<\/p>\n
\"\"<\/a><\/figure>\n
Selbst wenn jemand im Besitz des SSH-Passwortes oder Schl\u00fcssels ist, kann er sich nicht anmelden – ihm fehlt ja der Best\u00e4tigungscode aus dem zweiten Schritt.<\/p>\n
Falls du SSH-Schl\u00fcssel verwendest oder das Passwort gespeichert hast, entf\u00e4llt der erste Schritt m\u00f6glicherweise und du wirst nur nach dem Best\u00e4tigungscode gefragt. Ob du Password oder 2-Faktor Code eingeben musst, erkennst du am Anfang der Zeile: Beim SSH-Passwort steht dort nur „Password“, wogegen im Falle des 2-Faktor Codes aus der App nach „Verification code“ gefragt wird.<\/p>\n
2-Faktor Anmeldung funktioniert nicht? Daf\u00fcr gibt es die „Emergency scratch codes“!<\/h2>\n
Wenn die Einrichtung funktioniert hat, wirst du in aller Regel einfach einen Code aus der App eingeben und dich anmelden k\u00f6nnen. In Ausnahmesituationen ist das aber vielleicht nicht m\u00f6glich: Beispielsweise, wenn das Handy vergessen oder verloren wurde. Vor allem der letztere Fall ist ein gro\u00dfes Problem. Erh\u00e4lt man das Ger\u00e4t nicht zur\u00fcck, ist ein Login dauerhaft nicht m\u00f6glich. Au\u00dferdem besteht Missbrauchsgefahr. Zwar fehlt einem Angreifer noch das Passwort, aber mit dem Ger\u00e4t besitzt er bereits einen ersten Teil.<\/p>\n
Hierf\u00fcr helfen die zuvor generierten Emergency scratch codes<\/strong>: Sie sind im Grunde Einweg-Codes, die dauerhaft g\u00fcltig sind, aber jeweils nur einmal verwendet werden k\u00f6nnen. Daher gibt es gleich f\u00fcnf St\u00fcck davon. Habt ihr keinen Zugriff auf euer Ger\u00e4t, k\u00f6nnt ihr euch mit den Notfallcodes ohne Handy anmelden – und anschlie\u00dfend entweder ein neues Ger\u00e4t einrichten, oder als tempor\u00e4re Ma\u00dfnahme die 2-Faktor Authentifizierung abschalten.<\/p>\n
Auch oder gerade weil das seltene Ausnahmef\u00e4lle sind, die vielleicht nie vorkommen, sollte man dies im Hinterkopf behalten und vorbereitet sein. Wer weder Handy noch Notfallcode besitzt, kann den SSH-Zugang nicht mehr ohne weiteres nutzen. Vor allem wenn man das Ger\u00e4t nicht physisch erreichbar hat, ist das ein gro\u00dfes Problem. Daher sollten die Codes sicher aufbewahrt werden, aber dennoch im Notfall zeitnah griffbereit.<\/p>\n","protected":false},"excerpt":{"rendered":"
Immer mehr Dienste bieten 2-Faktor Authentifizierung an, um Zug\u00e4nge zu sch\u00fctzen – Google, GitHub, Twitter und Steam sind nur einige Beispiele von vielen. Wir schauen uns heute an, wie 2-Faktor funktioniert und wie du es auf deinem Raspberry Pi oder auch jedem anderen Debian-System einrichten kannst, um den SSH-Zugang damit abzusichern. Was ist 2-Faktor Authentifizierung …<\/p>\n","protected":false},"author":5,"featured_media":8328,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[671],"tags":[56,781],"class_list":["post-8321","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-raspberry-pi","tag-sicherheit","tag-ssh"],"_links":{"self":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/8321","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/comments?post=8321"}],"version-history":[{"count":7,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/8321\/revisions"}],"predecessor-version":[{"id":9786,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/8321\/revisions\/9786"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media\/8328"}],"wp:attachment":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media?parent=8321"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/categories?post=8321"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/tags?post=8321"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}