SSH-Zugriff mit 2FA absichern

Standardmässig kann auf Ihr WEEASY Appliance per SSH zugegriffen werden. Dabei ist die Angabe von User und Passwort notwendig. Um die Sicherheit zusätzlich zu erhöhen kann darüber hinaus noch eine sogenannte 2-Factor-Authentication (2FA) eingerichtet werden.


Alle Details dazu finden Sie auf dieser Seite:

  • Diese Anleitung bezieht sich nur auf den Login am WEEASY Appliance per SSH. Der Login am Cloud Desktop von WEEASY wird nicht verändert (siehe auch 2-Factor-Authentication für die Anmeldung am WEEASY Cloud Desktop). 
  • Für die 2FA soll das Google Authenticator-Verfahren zur Anwendung kommen (https://de.wikipedia.org/wiki/Google_Authenticator). Dieses generiert per App zeitbasiert einen zusätzlichen Schlüssel, der beim Login per SSH zusätzlich zu User und Passwort eingegeben wird
  • Entsprechenden Apps sind für alle Betriebssystem auf PC, Mac und Smartphone verfügbar. 
    • Empfehlung: Authy: https://authy.com/ oder via App Store / Google Play
    • Alternative: Google Authenticator: via App Store / Google Play verfügbar
  • Da beim WEEASY Appliance der SSH Zugriff standardmässig nur mit dem User weeasy möglich ist, müssen wir 2FA für diesen User konfigurieren


Google Authenticator auf Appliance installieren

  • Per SSH mit User weeasy auf WEEASY Appliance anmelden
  • Mit su zu User root wechseln
  • Google Authenticator installieren


# Google Authenticator per yum installieren
yum install google-authenticator 


# Google Authenticator als authentication module registrieren. 
vim /etc/pam.d/sshd


# Dazu muss die folgende Zeile ergänzt werden
auth required pam_google_authenticator.so


# Nun muss noch dem SSH Dienst bekannt gemacht werden, dass dieser Google Authenticator nutzen soll
vim /etc/ssh/sshd_config


# Dazu muss der folgenden Konfigurationsparameter gesetzt werden. Der Eintrag ist in der Datei schon vorhanden
ChallengeResponseAuthentication yes 


# Nach einem Restart ist der Login per SSH nur noch mit zusätzlichem Token möglich.
systemctl restart sshd


Achtung: Zum jetztigen Zeitpunkt ist kein SSH Login mit dem User WEEASY mehr möglich. Dieser ist erst wieder möglich, der nachfolgenden Abschnitt der Anleitung durchgeführt wurde


2-Factor-Authentication einrichten

  • Mit exit root Session wieder beenden. Der aktuelle Benutzer ist nun wieder weeasy (kann mit whoami abgefragt werden)
  • Google Authenticator für Benutzer weeasy einrichten. 

    google-authenticator

  • Folgenden Sie den Anweisungen und Frage des Konfigurationsprogramms. Zum Abschluss wird ein QR-Code und eine Zusammenfassung angezeigt. Der QR-Code kann mit einer entsprechenden App z.B. Authy direkt gescannt werden. Des weiteren empfiehlt es sich den Secret-Key und die Emergency Scratch Codes an einem sicheren Ort aufzubewahren. Die Sicherheitstokens können im Notfall für den Login verwendet werden, z.B. falls die App nicht mehr startet oder das Handy defekt ist.




Smartphone App für für 2FA konfigurieren

2FA Apps für Smartphone via App Store / Google Play herunterladen. als Apps empfehlen sich Authy oder Google Authenticator. Bei beiden geht die Konfiguration am einfachsten, wenn man den QR-Code scannt