Hallo Kollegen,
mal eine vlt. dumme Frage ich find den Fehler nicht
Ich habe ssh publickey mit 2FA OTP wie folgt eingerichtet:
# Google Authenticator
UsePAM yes
PasswordAuthentication no<br>PubkeyAuthentication yes
ChallengeResponseAuthentication yes
KbdInteractiveAuthentication yes
AuthenticationMethods publickey,keyboard-interactive
PermitRootLogin yes
SSHD neu starten
systemctl restart sshd[/CODE]
die 10-totp.conf schaut so aus:
in der /etc/pam.d/sshd ist PasswordAuthentication auf no gesetzt.
wen ich versuche mich einzuloggen mit ssh -v hostname bekomme ich die Eingabeaufforderrung für das OTP gefolgt von der für das passwort. Wie muss ich das noch konfigurieren, damit kein passwort mehr aubgefragt wird?
Gruss
Uli
mal eine vlt. dumme Frage ich find den Fehler nicht
Ich habe ssh publickey mit 2FA OTP wie folgt eingerichtet:
Code:
PAM-Modul installieren
Bearbeiten apt-get install libpam-google-authenticator
2FA einrichten<br>Bearbeiten google-authenticator --time-based --disallow-reuse --window-size=3 --step-size=30 --rate-limit=3 --rate-time=30
Den ausgegebenen QR-Code mit einer TOTP-App wie Google Authenticator oder FreeOTP+ aufnehmen.
Das Geheimnis (Secret) und die Wiederherstellungscodes in einer KeePass-Datenbank speichern.
Das Programm erstellt die Datei ~/.google_authenticator.
Secure Shell<br>Bearbeiten<br><br>Die SSH-Anmeldung an unseren Servern soll nur noch mit Public-Key-Authentifizierung und einem Einmalkennwort möglich sein.
Ausnahmen können konfiguriert werden. PAM konfigurieren Das PAM-Modul wird am Anfang der Datei /etc/pam.d/sshd eingefügt.
# PAM configuration for the Secure Shell service
# Google Authenticator
[CODE]auth [success=done new_authtok_reqd=done ignore=ignore default=die] pam_google_authenticator.so
Standard Un*x authentication.
@include common-auth Die Zeile mit common-auth nicht auskommentieren.
Siehe https:<span>//wiki.ubuntuusers.de/PAM/ für eine Beschreibung von PAM.
SSHD konfigurieren
Die Datei /etc/ssh/sshd_config.d/10-totp.conf anlegen.
UsePAM yes
PasswordAuthentication no<br>PubkeyAuthentication yes
ChallengeResponseAuthentication yes
KbdInteractiveAuthentication yes
AuthenticationMethods publickey,keyboard-interactive
PermitRootLogin yes
SSHD neu starten
systemctl restart sshd[/CODE]
die 10-totp.conf schaut so aus:
Code:
# Google Authenticator
UsePAM yes
PasswordAuthentication no
PubkeyAuthentication yes
ChallengeResponseAuthentication yes
KbdInteractiveAuthentication yes
AuthenticationMethods publickey,keyboard-interactive
PermitRootLogin yes
in der /etc/pam.d/sshd ist PasswordAuthentication auf no gesetzt.
wen ich versuche mich einzuloggen mit ssh -v hostname bekomme ich die Eingabeaufforderrung für das OTP gefolgt von der für das passwort. Wie muss ich das noch konfigurieren, damit kein passwort mehr aubgefragt wird?
Gruss
Uli