vorhergehender Artikel
nächster Artikel

mOTP revisited

vorhergehende Artikel in: Revisited Linux Security
04.01.2020

Nachdem nun ein wenig Zeit ins Land gegangen ist und ich auch das eine oder andere dazugelernt habe schreibe ich hier meine aktuelle Praxis zur kostengünstigen Nutzung von 2-Faktor-Authentifizierung auf...

Das, was hier gleich passiert wird als Nutzer root getan - man sollte bis zur verifizierten korrekten Funktion eine Root-Shell in der Hinterhand haben, um etwaige Probleme beheben zu können!

Zur Einrichtung auf einem beliebigen Host/VM/Container erzeuge ich mir zunächst ein Secret: 

head -10 /dev/urandom | sha512sum | cut -b 1-30

Es müssen auch einige Pakete installiert werden - unter Ubuntu 18.04 (und wahrscheinlich jeder Menge anderer Debian-Derivate) sieht das wie folgt aus: 

apt-get install libpam-oath oathtool

Ich trage dann - entweder in common-auth oder sudo-auth - die Konfiguration für das neue Modul ein: 

auth    [success=2 default=ignore]      pam_oath.so usersfile=/etc/users.oath

Die Zahl hinter 'success' überspringt die angegebene Zahl an alternativen Möglichkeiten zur Authentifizierung, die eventuell dahinter im Config-File noch konfiguriert sind - sie muss auf die tatsächlichen Gegebenheiten angepasst werden! Nun muss die Datei /etc/users.oath angelegt werden - als secret benutzen wir das oben erzeugte: 

# Option User Prefix Seed
HOTP/T30/6 <user> - <secret>

Nicht vergessen, die Rechte korrekt zu setzen! 

chmod 600 /etc/users.oath
chown root /etc/users.oath

Nun kann man beginnen zu testen - falls nicht alles sofort funktioniert, kann man auch den Debug-Modus aktivieren - sollte man im Produktivbetrieb natürlich deaktivieren. Ein erstes Token kann man sich wie folgt erzeugen: 

oathtool --verbose --totp <secret>

Dieser Aufruf hat außer der Erstellung eines Tokens noch einen weiteren nützlichen Nebeneffekt: er zeigt unser Secret als Base32 an - ein Modus, den manche Token erzeugende Apps benötigen.

Als Apps für Android benutze ich Mobile-OTP bzw. FreeOTP Authenticator.

Beide funktionieren gut - beim Modus ist TOTP auszuwählen. FreeOTP Authenticator hat vielleicht den leichten Vorteil, dass man einen QR-Code einscannen kann, dessen Inhalt folgendem Muster folgen muss: 

otpauth://totp/<profile name>?secret=<secret>

Dabei ist zu beachten, dass der Profilname beliebig gewählt werden kann und beim Secret die Base32-Variante angegeben werden muss!

Solche QR-Codes kann man mit allen möglichen Werkzeugen erstellen - es ist sogar in einem Linux-Terminal möglich; ein Weg, dies zu schaffen ist das Tool segno. die Installation erfolgt mittels 

pip3 install segno

Benutzt wird es zum Beispiel wie folgt: 

segno --border=1 -e L 'otpauth://totp/<profile name>?secret=<secret>'

Artikel, die hierher verlinken

pam_nfc und Ubuntu 20.04

02.11.2021

Ich habe bereits verschiedentlich über alternative Möglichkeiten zur 2-Faktor-Authentifizierung unter Linux mittels pam berichtet. Inzwischen stelle ich fest, dass es jedes Mal, wenn ich ein Betriebssystem-Upgrade durchführe zu Problemen mit pam_nfc kommt

Öffnen

Spezielle Telegraf-Anpassungen für Rock64

20.12.2020

Obwohl mein letztes Vorhaben mit dem Rock64 kläglich gescheitert ist habe ich ihn in mein Netzwerklabor eingebaut - und das bedeutet, dass die 2-Faktor-Authentifizierung aktiviert ist und das System mittels Telegraf Daten an die Influx-DB meldet und mit Grafana überwacht werden kann:

Öffnen

Alle Artikel rss Wochenübersicht Monatsübersicht Github Repositories Gitlab Repositories Mastodon Über mich home xmpp

Vor 5 Jahren hier im Blog

  • Fährnisse des Buildprozesses unter Windows

    17.07.2019

    Nachdem ich begonnen hatte, mich mit der Beschleunigung der Berechnung des Mandelbrot-Fraktals unter Zuhilfenahme der Shadereinheiten in Graphikkarten zu beschäftigen und erste Erfolge feiern konnte, wollte ich das mal auf einer richtigen Graphikkarte ausprobieren...

    Weiterlesen...

Tags

Android Basteln C und C++ Chaos Datenbanken Docker dWb+ ESP Wifi Garten Geo Git(lab|hub) Go GUI Gui Hardware Java Jupyter Komponenten Links Linux Markdown Markup Music Numerik PKI-X.509-CA Python QBrowser Rants Raspi Revisited Security Software-Test sQLshell TeleGrafana Verschiedenes Video Virtualisierung Windows Upcoming...

Neueste Artikel

  • Datenvalidierung UTF8 mit BiDi-Steuerzeichen (TrojanSource 2.0)

    Ich bin heute nochmal inspiriert worden, weiter über die Trojan Source Vulnerability nachzudenken. Meiner Meinung nach bestehen hier noch Probleme - speziell bei Nutzereingaben oder Daten, die über externe Schnittstellen ampfangen werden.

    Weiterlesen...
  • OpenStreetMap Navi als Docker-Container

    Ich habe die auf OpenStreetMap basierende OpenSource Navigationslösung Graphhopper in einen Docker-Container gepackt und als neuestes Mitglied in meinem Docker-Zoo willkommen geheißen.

    Weiterlesen...
  • SQL-Aggregatfunktionen in SQLite als BeanShell-Scripts

    Ich habe neulich über eine Möglichkeit berichtet, SQLite mittels der sQLshell und Beanshell-Skripten um SQL-Funktionen zu erweitern. In diesem Artikel versprach ich auch, über eine solche Möglichkeit für Aggregatfunktionen zu berichten.

    Weiterlesen...

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muß damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen GitHub-Repositories findet man hier - meine öffentlichen GitLab-Repositories finden sich dagegen hier.