pam-google-authenticator

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

pam-google-authenticator

Beitrag von scientific » 03.03.2017 17:23:22

Hi Leute!

Was haltet ihr davon?

https://www.debinux.de/2015/01/google-a ... sh-server/

Bringt das was, oder ist das nur Scheinsicherheit?

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Benutzeravatar
ThorstenS
Beiträge: 2875
Registriert: 24.04.2004 15:33:31

Re: pam-google-authenticator

Beitrag von ThorstenS » 03.03.2017 19:22:58

Ich finde das vernünftig für SSH-Zugriffe von außerhalb mir bekannter Subnetze.
Daher werfe ich dir noch diesen Link dazu vor: http://serverfault.com/questions/518802 ... dress-only
Wenn ich bei jedem ssh-Login noch mein handy zücken müßte, würde ich wahnsinnig werden.

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: pam-google-authenticator

Beitrag von scientific » 03.03.2017 21:19:30

Oh danke! Ja das machts noch etwas geschmeidiger.

Mein Handy hab ich am Schreibtisch eh immer nebenbei liegen.
Ich finde das schon noch mal einen Schritt in Richtung Sicherheit, der bloß ein wenig Komfortverlust mit sich bringt.

Super find ich auch, dass der pam-google-Modul in alle Prozesse einhängbar ist. Mein Ziel ist es ja, unsere Geschäftsführung doch noch einen Schritt in Richtung Linux und weg von Windows zu bringen... Schließlich geht es bei uns um sensible Daten... Und mit 30 über die ganze Stadt verteilten Arbeitsplätzen bietet sich eine Fernwartung per ssh schon an... Bis jetzt ist es Administration per Turnschuh, Straßen- und Ubahn...
Und so eine 2-Faktor Authentifizierung - noch dazu so watscheneinfach eingerichtet...

Was mich jetzt noch interessieren würd... Leider ist mir PAM und auch die ssh-Serverkonfiguration noch ein klein wenig ein spanisches Dorf (wenngleich ich heute extrem viel dazugelernt habe!)...

Ich habe für den SSH-Server die Authentifikation mittel SSH-Key eingerichtet.
Lt obiger Anleitung hab ich sshd_config auch entsprechend auch gestaltet:

Code: Alles auswählen

AuthenticationMethods publickey,keyboard-interactive:pam
Nur jetzt benötige ich zwingend einen publickey - auch im lokalen Netz. Kann man das analog zu pam auch splitten?

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: pam-google-authenticator

Beitrag von scientific » 03.03.2017 21:35:30

Hab das mal bei mir jetzt nach diesem Artikel eingerichtet...
http://changelog.complete.org/archives/ ... entication

"Enhancement 1, variant 2: Allowing non-pubkey auth" scheint gut zu funktionieren.

Jetzt muss ich "nur" noch den Usern die in der Gruppe sudo oder wheel sind einen Token verpassen...

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: pam-google-authenticator

Beitrag von MSfree » 03.03.2017 22:00:18

scientific hat geschrieben:Nur jetzt benötige ich zwingend einen publickey - auch im lokalen Netz. Kann man das analog zu pam auch splitten?
Mit folgenden Einträgen kann man z.B. PasswordAuthentication im lokalen Netz ermöglichen:

Code: Alles auswählen

Match Address 192.168.x.0/24
   PasswordAuthentication yes
Und falls gewünscht, kann man auch Root-Logins im lokalen Netz ermöglichen:

Code: Alles auswählen

Match Address 192.168.x.0/24
   PermitRootLogin yes
Einfach ans Ende von /etc/ssh/sshd_config anhängen.

Benutzeravatar
ThorstenS
Beiträge: 2875
Registriert: 24.04.2004 15:33:31

Re: pam-google-authenticator

Beitrag von ThorstenS » 04.03.2017 08:52:23

Ich würde keine Ausnahme machen und grundsätzlich einen ssh-key verlaqngen.

An meinem Arbeitsplatz habe ich Debiankeychain und Debianssh-askpass-gnome (alternativ Debianssh-askpass, Debianksshaskpass) installiert, lade meine ssh-keys beim Einloggen. (ausschnitt aus der .bashrc)

Code: Alles auswählen

if [ -f ~/.ssh/id_rsa-4ma.key ]; then
    keychain --nogui -q ~/.ssh/id_rsa-4ma.key
    source ~/.keychain/${HOSTNAME}-sh
fi
Wenn ich unterwegs bin, habe ich einen USB stick mit einem portablen putty und meinen ssh-keys dabei.

Ich würde mal mit deinem Chef sprechen, ob du nicht 30 raspis kaufen kannst und dir damit ein VPN aufbaust. Dann nutzt du die raspis als Sprungbrett, um auf die internen Ressourcen zuzugreifen - bei den Windowsen über rdp. Debianremmina eignet sich dafür super gut, weil es von Hause aus auch eine RDP Verbindung über nen ssh-Tunnel erlaubt.

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: pam-google-authenticator

Beitrag von scientific » 06.03.2017 11:36:51

ThorstenS hat geschrieben:Ich würde keine Ausnahme machen und grundsätzlich einen ssh-key verlaqngen.

An meinem Arbeitsplatz habe ich Debiankeychain und Debianssh-askpass-gnome (alternativ Debianssh-askpass, Debianksshaskpass) installiert, lade meine ssh-keys beim Einloggen. (ausschnitt aus der .bashrc)

Code: Alles auswählen

if [ -f ~/.ssh/id_rsa-4ma.key ]; then
    keychain --nogui -q ~/.ssh/id_rsa-4ma.key
    source ~/.keychain/${HOSTNAME}-sh
fi
Wenn ich unterwegs bin, habe ich einen USB stick mit einem portablen putty und meinen ssh-keys dabei.

Ich würde mal mit deinem Chef sprechen, ob du nicht 30 raspis kaufen kannst und dir damit ein VPN aufbaust. Dann nutzt du die raspis als Sprungbrett, um auf die internen Ressourcen zuzugreifen - bei den Windowsen über rdp. Debianremmina eignet sich dafür super gut, weil es von Hause aus auch eine RDP Verbindung über nen ssh-Tunnel erlaubt.
Ich bau mir gerade meine Testinfrastruktur auf. Danke für den Hinweis mit dem Stick und dem portablen putty.

Ich kann leider deinen Ausführungen mit den Raspis nicht ganz folgen... Wo soll ich die hinstellen? Bei den 30 Arbeitsplätzen? Damit die dort quasi das Eingangstor zum VPN darstellen?

Da die Internetverbindungen "dort" sowohl über irgendwelche LAN/WAN aber auch über Mobilfunk-Internetanbindungen mit LTE/UMTS-Routern sind (sehr heterogen und dem jeweiligen Standort angepasst) und die Desktop-Virtualisierung über Citrix und demnächst über Windows-Terminal-Server stattfindet, dort sowohl Laptops als auch PCs im Einsatz sind und wir derzeit keine Möglichkeit haben, in der Zentrale einen Server als VPN-Konzentrator aufzubauen, scheint mir das ein wenig Overkill zu sein...
Mir wär die sympathischere Lösung, auf den Clients Linux zu haben, auf denen dann remmina für den virtuellen Desktop läuft... und ich drauf per ssh zwecks Fernwartung komme.

Dazu jetzt noch eine Geschichte... "Dort" sind ja genattete Netzwerke (Mobilfunker, Telekabel-Anbieter...). Also komme ich nicht direkt auf die Rechner.
Ich kann auch keine Portweiterleitungen einrichten oder feste IPs vergeben...

Ich baue mir gerade gedanklich eine Struktur auf, die ich dann einmal meinem Vorgesetzten vorschlagen möchte um testweise eine handvoll Rechner umzusetzen.

Da um auf einen ssh-Server hinter einem NAT zu gelangen gäbe es pwnat http://samy.pl/pwnat/
Da hab ich noch nicht ganz durchgeblickt... Ich müsste pwnat auf den "dortigen" Rechnern mit -s als Server laufen lassen und auf meinem Rechner in der "Zentrale" dann mit pwnat -c zum jeweiligen Rechner die Verbindung aufbauen... klappt aber in einer Testumgebung nicht...

Wenn das nämlich klappten würde, könnt ich auf den Clients eine dynamische DNS-Geschichte einrichten um mich per domain/subdomain-Name auf die Rechner zu verbinden...

Die VPN-Geschichte ist natürlich noch eleganter...

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Benutzeravatar
ThorstenS
Beiträge: 2875
Registriert: 24.04.2004 15:33:31

Re: pam-google-authenticator

Beitrag von ThorstenS » 06.03.2017 12:11:13

Die raspis (zero W im einfachsten Fall für 10€, wenn du überall WLAN hast) habe ich erwähnt, weil sie die kostengünstigste Möglichkeit sind ein VPN bereitzustellen. In jede Lokation einen, der baut die site2site Verbindung zu deinem VPN Server auf.

Wenn du in der Zentrale keinen VPN Server aufbauen kannst, dann miete dir einen CloudServer. (KVM oder XEN Basis, die anderen erlauben dir kein openVPN). Alternativen zu openVPN sind auch das schlanke tinc oder das überragende softether.

Linux Desktops sind klasse, aber das ist - ohne eure Umgebung zu kennen - ein größeres Projekt, als ein VPN aufzubauen.
Die pwnat Software habe ich nur überflogen, ob das eine Frickellösung ist, oder für deinen Einsatz taugt, kann ich nicht beurteilen.

Du könntest die raspis auch allesamt als vpn-server konfigurieren und läßt sie alle X Minuten eine Webseite bei euch ansurfen. http://4ma.tld/lokationX und im Logfile siehst du dann welche IP die jeweilige lokation hat und du verbindest dich dann mit deinem vpn-client auf die IP. Das setzt natürlich voraus, dass der Router ein Portforwarding für die 1194 auf den raspi erlaubt.

Rechne deinem Chef vor wie oft du für Lapalien rausfahren mußt, wie lange das jeweils für die Anfahrt kostet und wieviel Zeit du sparst, wenn du die Dinge remote lösen könntest. Ganz zu schweigen von der Möglichkeit die Drucker per nagios/incinga/YouNameIt zu überwachen und im Idealfall einen Tonernotstand vorherzusehen und frühzeitig eine Kartusche in die Hauspost zu legen. Das dient alles der Produktivitätssteigerung - dein Chef sollte begeistert sein von deine Idee :THX:

BTW:
Wir haben 56 Standorte mit ~3000 Clients und jeweils einer debian Box vor Ort stehen. Ohne VPN würden sich die zwei (!!) Clientadmins doch die Schuhsohlen abwetzen. Das ist ein absolutes musthave

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: pam-google-authenticator

Beitrag von scientific » 06.03.2017 12:35:10

Das klingt durchaus vernünftig.
Allerdings haben wir nicht überall WLAN. Und ich kann nicht überall einfach so noch einen Rechner dazukleben im Netz. Die meisten Netze sind in unserer eigenen Verwaltung. Bei einigen Standorten aber sind wir nur "Untermieter". Portweiterleitungen sehe ich bei fast allen Netzten schwierig... Daher auch mein Gedanke an pwnat und die Linux-Clients.

Derzeit helfe ich Usern im Notfall per anydesk, das es sowohl für Windows als auch für Linux gibt. Das klappt ganz gut. Aber halt nur, wenn der User am Rechner sitzt. Ist so ähnlich wie Teamviewer.
Bei Anydesk kann ich auch einen Zugang ohne eingeloggtem User herstellen. Aber die einzige Sicherheit dabei ist nur ein langes Passwort... Außerdem würden dabei dann auch Lizenzkosten anfallen... Die würden dann aber wieder den tatsächlichen Administrationsaufwand für die Turnschuhadministration übersteigen... Und wir sind ein gemeinnütziger Verein, der sich über Spenden finanziert... da sehe ich die Verwendung der Spendengelder nicht unbedingt in einer weiteren Lizenzzahlung an einen Softwarehersteller...

Bei unserer derzeitigen Software-Politik ist ein Umstieg (zumindest von einem Teil der Clients) auf Linux gleich schwierig wie die Einrichtung eines VPN mittels Raspis...

Wenn ich Linux-Clients durchbringe, bringe ich auch einen VPN-Server im Haus durch.

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Benutzeravatar
ThorstenS
Beiträge: 2875
Registriert: 24.04.2004 15:33:31

Re: pam-google-authenticator

Beitrag von ThorstenS » 06.03.2017 19:48:34

Dann drücke ich dir die Daumen, dass ihr euch zeitnah auf eine kostengünstige und effiziente Lösung einigen könnt. :THX:

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: pam-google-authenticator

Beitrag von scientific » 06.03.2017 19:57:46

Danke :)
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Antworten