OTP 2FA

Glücklicherweise verfügt OpenSSH ebenfalls über die Möglichkeit einer 2-Faktor-Authentifizierung. Das bedeutet, dass neben Benutzername und Passwort nun auch ein OTP (One Time Password) zum Einsatz kommt. Die Konfiguration ist dabei wirklich sehr einfach.

Zunächst installiert man folgendes Paket:

apt install libpam-google-authenticator

Danach trägt man folgende Zeile in die /etc/pam.d/sshd ein:

auth required pam_google_authenticator.so

Im Anschluss muss in der /etc/ssh/sshd_config folgendert Wert eingestellt werden:

ChallengeResponseAuthentication yes

Nun als Root oder mit Sudo folgende Zeile aufrufen:

google-authenticator

Die folgenden Fragen aufmerksam lesen und entsprechend beantworten. Den QR-Code mit dem Handy bspw. mit Authy einscannen und fertig. Die generierten "Scratch Codes" sicher aufbewahren. Sie werden unglaublich nützlich, wenn Authy nicht mehr funktionieren sollte.