FIDO2 & U2F die ersten Erfahrungen

Oktober 13, 2019 - Lesezeit: 2 Minuten

Auf Folgenden Webseiten / Services konnte man U2F/FIDO nutzen:

Wie schon im anderen Beitrag LINK beschrieben nutze ich aktuell Folgende Keys HyperFIDO Mini und Yubikey 5 NFC.

Nextcloud: Die Cloud Lösung bietet eine volle unterstützung für mehrere U2F Keys die Einrichtung erfolgt über ein Offizielles Plugin (Two-Factor U2F) Hersteller Link: Nextcloud-U2F

Die Einrichtung der Keys erfolgt pro Benutzer über die Sicherheitseinstellungen, auflistung der Keys mit einem Freiwählbaren Namen:


Screenshot Nextcloud  Einstellungen -> Sicherheit -> Zwei-Faktor-Authentifizierung

AWS (Cloud): Einrichtung eines U2F-Keys für den Benutzer Account möglich, dies ist allerdings auf einen Key begrenzt.

GitHub: Einrichtung von mehreren U2F-Keys ohne Probleme möglich.

Google/Youtube: Einrichtung von mehreren U2F-Keys ohne Probleme möglich.


CentOS 7 Zwei Faktor SSH Authentifizeirung mit googleauthenticator

Oktober 6, 2019 - Lesezeit: 11 Minuten

Für den Start benötigen wir folgende Smartphone App. diese wird für die generierung der 2FA Codes benötigt:
https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=de
https://apps.apple.com/de/app/freeotp-authenticator/id872559395

Anmeldung via SSH (Passwort / Key Auth) auf dem SSH Server
Installation der Benötigten Pakete via yum :

yum install google-authenticator

Anpassung in der PAM sshd Config:

vi /etc/pam.d/sshd

Einfügen folgendes Befehles:

# google auth 2FA
auth required pam_google_authenticator.so

Anpassen der SSH sshd_config Datei:

vi /etc/ssh/sshd_config

Anpassung und einfügen folgender Befehle:

# Change to no to disable s/key passwords
ChallengeResponseAuthentication yes
# Use PAM for Authentication
UsePAM yes
# google 2FA force with SSH Key
AuthenticationMethods publickey,keyboard-interactive

Wechseln des Benutzer zur Generierung der 2FA Schlüssel (dieser schritt muss für jeden Benutzer durchgeführt werden!):

su - USERNAME

Aufrufen des Konfiguration Wizards:

google-authenticator

Abscannen des QR Codes mittels der Smartphone APP:

Do you want authentication tokens to be time-based (y/n) y
Do you want me to update your "/home/admin/.google_authenticator" file? (y/n) y
your chances to notice or even prevent man-in-the-middle attacks (y/n) y
Do you want to do so? (y/n) n
Do you want to enable rate-limiting? (y/n) y

Neustarten des SSHD Services (als Root):

systemctl restart sshd

Starten einer neuen SSH Sitzung via z.B. Putty mit dem vorher benutzten USERNAME
(Achtung die bestehende root verbindung nicht Schließen!!):

Folgende Abfrage sollte erscheinen:

  1. Passwort für den Privaten SSH-KeY
  2. Passwort des Benutzers
  3. Verifikation Code aus der OTP App


YubiKey - Ersten Schritte

September 14, 2019 - Lesezeit: ~1 Minute

Erste Erfahrung mit den Yubikeys & Anderen FIDO / U2F Keys:

nfc5

  • Erfahrung mit MFA / 2FA
  • Ersten Schritte mit dem YubiKey Manager und YubiKey Personalization Tool
  • Unterschiedlichen Funktionen und Methoden zum Verwenden des Yubikey
  • Absicherung von Keypass XC und Linux Systemen mittels MFA / 2FA

Hersteller Link: https://www.yubico.com/product/yubikey-5-nfc

Zusetzlicher Key (Kostengüstige alternative aktuell im Test):

Hersteller Link: Hyperfido-Mini-U2F