2FA SSH/Cron

KORN3Y · 18. Juni 2023

Hi Zusammen,

vielleicht hat hier jemand ne Idee für mich... auch wenn ich glaube ich schon weiß worauf es hinausläuft....

Ich habe mir angewöhnt meine Server mit googlepam 2FA abzusichern, statt Pubkey, da ich den 2FA immer dabei habe... jetzt würde ich gerne per cron regelmäßig Daten sichern. Eine parallele Nutzung von Passwort/Verificationcode oder Pubkey geht nicht? Würde für meine persönlichen Zugriff gerne auf 2FA bleiben und nur im cron Pubkey nutzen.

Ich hoffe auf euer Schwarmwissen.

Schonmal danke vorweg!

ThomasChr · 18. Juni 2023

Wenn das ein Standard 2FA Verfahren ist dann kann dein Cron ausgehend vom Schlüssel doch selber einen 2FA Code (HOTP) erzeugen. Das Verfahren ist spezifiziert und es gibt im Internet für quasi jede Programmiersprache Beispiele.

Oder bin ich auf dem Holzweg?

KORN3Y · 18. Juni 2023

Es ist auf Google basierender TOTP, ich suche mich seit Wochen zu dem Thema und finde nix verwertbares…

ThomasChr · 18. Juni 2023

Hier Erklärung mit Beispielimplementierung in Python und in Go: https://levelup.gitconnected.c…assword-work-17c6bdef0deb

KORN3Y · 18. Juni 2023

Cool danke klingt schonmal nach nem Ansatz!

nostromox · 18. Juni 2023

Also bei mir geht das parallel:

Wenn Key vorhanden dann unmittelbare Anmeldung, ansonsten werden Passwort u. Verification Code abgefragt.

KORN3Y · 18. Juni 2023

Zitat von nostromox

Also bei mir geht das parallel:

Wenn Key vorhanden dann unmittelbare Anmeldung, ansonsten werden Passwort u. Verification Code abgefragt.

Okay das wäre natürlich meine präferierte Variante…

Bisher kann ich pubkey nur im preboot ssh nutzen … da muss ich dann wohl nochmal nen Versuch starten… sollte er dann doch nicht nach Passwort fragen wenn ssh do konfiguriert ist:

Code

AuthenticationMethods Publickey, Keyboard-interactive

Ich sehe ich muss noch etwas mehr Zeit investieren

KB19 · 18. Juni 2023

Soweit ich weiß kann man PAM so konfigurieren, dass einige Dinge nur bei bestimmten Gruppen (nicht) ausgeführt werden. Wenn die entsprechenden Accounts dann gar kein Passwort haben, ist sowieso nur ein Login mit Keyfile möglich.

Ich habe aber leider kein Beispiel parat, da ich das offenbar nicht in mein internes Wiki geschrieben habe. Ich muss morgen mal schauen, wie ich das damals auf einem bestimmten System gelöst habe.

KORN3Y · 18. Juni 2023

Habe jetzt gerade nochmal etwas gezielter nach PAM Konfigurieren gesucht

Zitat

publickey,keyboard-interactive - means that publickey auth will be used and keyboard-interactive after that (kind of logical AND), replace comma with space for logical OR, like

wäre jetzt nicht Gruppenbezogen aber wohl eine Möglichkeit für meine Wunschkombination.

KB19 · 19. Juni 2023

Wenn ich meine Notizen richtig interpretiere, sollte das seit ca. 2017 so funktionieren:

Code: sshd_config

AuthenticationMethods publickey,keyboard-interactive:pam

Wenn für den Account kein TOTP konfiguriert wurde, sollte es ohne funktionieren. Zitat meiner Notizen: "Greift nur, wenn es für den Account aktiv ist."

Außer meine damaligen Notizen sind veraltet. Ich habe das zuletzt bei Debian 10 gebraucht… EDIT: Funktioniert auch bei Debian 11 noch.

KORN3Y · 19. Juni 2023

Danke nochmal! Ich hoffe ich komme heute Abend dazu es mal zu testen…

KORN3Y 18. Juni 2023