Die Zwei-Faktor-Authentifizierung ist ja zurzeit in aller Munde, da sie eine sichere Möglichkeit für die Anmeldung an Applikationen und Systemen darstellt. Auch an einem Pi kann man sich mit seinem Passwort und einer PIN anmelden.
Bitte beachtet, dass für diese Form der Zwei-Faktor-Authentifizierung zwingend die App Google Authenticator auf eurem Smartphone installiert sein muss. Wer mehr Informationen zum Google Authenticator sucht, wird auf Wikipedia fündig ➡ https://de.wikipedia.org/wiki/Google_Authenticator
Die Installation auf dem Pi ist direkt aus den Repositories möglich.
sudo aptitude install libpam-google-authenticator
Nach der erfolgreichen Installation kann man den Authenticator auf dem Pi mit dem Befehl starten:
google-authenticator
Es gilt jetzt nur noch den QR-Code mit der installierten App auf eurem Smartphone zu scannen.
Achtung:
Sichert unbedingt die 5 Notfall-PINs. Solltet ihr mal eurer Smartphone mit der Google Authenticator App nicht zur Hand haben, könnt ihr euch damit am Pi noch anmelden.
Die 4 Fragen habe ich mit yes, yes, no, yes beantwortet und damit ist die Konfiguration auch schon abgeschlossen.
Nun sind noch an zwei Skripten eine kleine Anpassungen vorzunehmen.
sudo nano /etc/pam.d/sshd
Fügt am Ende der Datei die Zeile hinzu: auth required pam_google_authenticator.so
sudo nano /etc/ssh/sshd_config
Sucht in der Datei den Eintrag ChallengeResponseAuthentication und ändert no auf yes ab.
Zum Schluß startet ihr den SSH-Dienst neu.
sudo service ssh restart
Die Anmeldung an eurem Pi sieht in Zukunft so aus:
Nachtrag
Ich bin seit kurzem umgestiegen auf eine neue OTP-App. Anstatt den Google Authenticator, wie oben beschrieben zu verwenden, nutze ich FreeOTP. An der App gefällt mir besser,
- sie ist übersichtlicher
- es lassen sich Icons für jeden Account vergeben
- die OTPs lassen sich sortieren
- etc.
