ssh mit publickey und OTP trotz PasswordAuthenticatin no wird nach Passwort gefragt.

kleemann_hdm_str

New Member
Nov 7, 2024
17
1
3
Hallo Kollegen,

mal eine vlt. dumme Frage ich find den Fehler nicht

Ich habe ssh publickey mit 2FA OTP wie folgt eingerichtet:


Code:
PAM-Modul installieren
Bearbeiten apt-get install libpam-google-authenticator
2FA einrichten<br>Bearbeiten google-authenticator --time-based --disallow-reuse --window-size=3 --step-size=30 --rate-limit=3 --rate-time=30
Den ausgegebenen QR-Code mit einer TOTP-App wie Google Authenticator oder FreeOTP+ aufnehmen.
Das Geheimnis (Secret) und die Wiederherstellungscodes in einer KeePass-Datenbank speichern.
Das Programm erstellt die Datei ~/.google_authenticator.
Secure Shell<br>Bearbeiten<br><br>Die SSH-Anmeldung an unseren Servern soll nur noch mit Public-Key-Authentifizierung und einem Einmalkennwort möglich sein.
Ausnahmen können konfiguriert werden. PAM konfigurieren Das PAM-Modul wird am Anfang der Datei /etc/pam.d/sshd eingefügt.

# PAM configuration for the Secure Shell service
# Google Authenticator
[CODE]auth [success=done new_authtok_reqd=done ignore=ignore default=die] pam_google_authenticator.so
Standard Un*x authentication.
@include common-auth  Die Zeile mit common-auth nicht auskommentieren.
Siehe https:<span>//wiki.ubuntuusers.de/PAM/ für eine Beschreibung von PAM.
SSHD konfigurieren
Die Datei /etc/ssh/sshd_config.d/10-totp.conf anlegen.
# Google Authenticator
UsePAM yes
PasswordAuthentication no<br>PubkeyAuthentication yes
ChallengeResponseAuthentication yes
KbdInteractiveAuthentication yes
AuthenticationMethods publickey,keyboard-interactive
PermitRootLogin yes
SSHD neu starten
systemctl restart sshd[/CODE]


die 10-totp.conf schaut so aus:


Code:
# Google Authenticator
UsePAM yes
PasswordAuthentication no
PubkeyAuthentication yes
ChallengeResponseAuthentication yes
KbdInteractiveAuthentication yes
AuthenticationMethods publickey,keyboard-interactive
PermitRootLogin yes

in der /etc/pam.d/sshd ist PasswordAuthentication auf no gesetzt.

wen ich versuche mich einzuloggen mit ssh -v hostname bekomme ich die Eingabeaufforderrung für das OTP gefolgt von der für das passwort. Wie muss ich das noch konfigurieren, damit kein passwort mehr aubgefragt wird?

Gruss

Uli
 
Hallo fireon,

die sshd schaut genauso aus wie in der Anleitung in der pam.d/sshd steht

@Include common-account und anstatt
+ auth required pam_google_authenticator.so

auth [success=done new_authok_reqd=done ignore=ignore default=die ] pam_google_authenticator.so

Nehme ich das @Vor Include weg gintnt es weder eine Aufforderrung den OTP key einzugeben noch eien Passwortabfrage,
kommentiere ich + auth required pam_google_authenticator.so (ob mit oder ohne + am Anfang) ein kann ich ien OTP key mehr eingeben, alle anderen Änderrungen bewirken keine Änderrung.


In der VM gibt es kein auth.log und journal --since sagt: PAM (sshd) illegal module type + PAM pam_parse: excepting return value; [...account]

Accepted google_authenticator for ...


Hast Du noch eine Idee wie ich das fixen kann?

Schöne Weihnachten & gutes neues Jahr

Uli
 
HI :)

bevor ich mir das jetzt im Detail ansehe... hast du deinem SSH-Key vielleicht ein Kennwort vergeben?
 
Bin kein Freund ungeschützter Schlüssel. Nutz einen Agent, dann musst Du den nur einmal freischalten und danach übernimmt der Agent dies für Dich (Linux: ssh-agent, Windows: pageant)
Code:
Linux:
eval $(ssh-agent) #startet den ssh-agent
ssh-add <privkeyfile> #stellt dem ssh-agent den privaten SSH-Schlüssel zur Verfügung
 
  • Like
Reactions: fireon and UdoB

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!