Linux ist bekannt für seine Sicherheitsvorkehrungen, insbesondere wenn es um den Zugriff auf das Kernsystem geht, der in der Regel ein Passwort erfordert. Diese Eigenschaft wird oft als ein Vorteil gegenüber anderen Betriebssystemen gesehen, obwohl natürlich kein System vollkommen sicher ist. Ein starkes Passwort und eine kluge Sudo-Richtlinie sind zwar ein guter Anfang, bieten jedoch keinen absoluten Schutz. Aus diesem Grund setzen immer mehr Sicherheitsexperten auf die Zwei-Faktor-Authentifizierung unter Linux.
Dieser Artikel zeigt Ihnen, wie Sie die Zwei-Faktor-Authentifizierung mit Google Authenticator auf Ihrem Linux-System einrichten.
Installation des Google Authenticator Moduls
Die Funktionalität des Google Authenticators in Linux wird durch ein PAM-Plugin ermöglicht. Dieses Plugin kann zusammen mit GDM und anderen Desktop-Managern verwendet werden. Hier ist die Installationsanleitung für verschiedene Linux-Distributionen:
Bevor Sie mit der Einrichtung beginnen, laden Sie bitte die Google Authenticator App aus dem Google Play Store oder dem Apple App Store herunter, da sie eine zentrale Rolle bei diesem Prozess spielt.
Installationsschritte
Ubuntu
sudo apt install libpam-google-authenticator
Debian
sudo apt-get install libpam-google-authenticator
Arch-Linux
Arch Linux bietet das Google Authenticator PAM-Modul nicht standardmäßig an. Benutzer müssen es über ein AUR-Paket beziehen und kompilieren. Hierzu können Sie die neueste PKGBUILD-Datei herunterladen oder einen AUR-Helfer Ihrer Wahl verwenden.
Fedora
sudo dnf install google-authenticator
OpenSUSE
sudo zypper install google-authenticator-libpam
Andere Linux Distributionen
Der Quellcode des Google Authenticators und des verwendeten libpam-Plugins sind auf Github verfügbar. Wenn Sie eine weniger verbreitete Distribution nutzen, finden Sie die Anweisungen zur Kompilierung aus dem Quellcode unter diesem Link.
Konfiguration von Google Authenticator unter Linux
Vor der Nutzung des PAM-Moduls muss eine Konfigurationsdatei bearbeitet werden. Öffnen Sie dazu ein Terminal und geben Sie folgenden Befehl ein:
sudo nano /etc/pam.d/common-auth
Die Datei „common-auth“ enthält viele Kommentare und Hinweise zur Authentifizierungsverwaltung unter Linux. Ignorieren Sie diese und scrollen Sie bis zum Ende, wo Sie „# here are the per-package modules (the „primary“ block)“ finden. Gehen Sie mit der Pfeiltaste nach unten in die nächste Zeile und fügen Sie dort diese Zeile ein:
auth required pam_google_authenticator.so
Speichern Sie die Datei mit STRG+O und beenden Sie den Editor mit STRG+X.
Kehren Sie nun zum Terminal zurück und geben Sie „google-authenticator“ ein. Das System wird Ihnen nun einige Fragen stellen.
Die erste Frage lautet: „Möchten Sie zeitbasierte Authentifizierungstoken verwenden?“. Bestätigen Sie dies mit „y“ (für Ja).
Nach dieser Bestätigung generiert das Tool einen geheimen Schlüssel und einige Notfallcodes. Notieren Sie sich diese Informationen sorgfältig, da sie wichtig sind.
Beantworten Sie die folgenden drei Fragen mit „Ja“, gefolgt von zwei „Nein“.
Die letzte Frage betrifft die Ratenbegrenzung. Wenn aktiviert, erlaubt Google Authenticator nur 3 Fehlversuche innerhalb von 30 Sekunden. Aus Sicherheitsgründen wird empfohlen, diese Option zu aktivieren. Sie können jedoch auch „Nein“ wählen, wenn die Ratenbegrenzung für Sie nicht relevant ist.
Einrichtung des Google Authenticators
Die Linux-seitige Konfiguration ist abgeschlossen. Nun müssen Sie die Google Authenticator App konfigurieren, damit sie mit den neuen Einstellungen funktioniert. Öffnen Sie die App und wählen Sie „Einen bereitgestellten Schlüssel eingeben“. Sie sehen dann den Bereich „Kontodetails eingeben“.
Hier sind zwei Eingaben erforderlich: Der Name des PCs, mit dem Sie den Authentifikator nutzen wollen, und der geheime Schlüssel, den Sie zuvor notiert haben. Füllen Sie beide Felder aus und Google Authenticator ist einsatzbereit.
Anmeldung mit Google Authenticator
Die Einrichtung unter Linux und auf Ihrem Mobilgerät ist nun abgeschlossen. Um sich anzumelden, wählen Sie Ihren Benutzer in GDM (oder LightDM etc.). Nach der Benutzerauswahl wird Ihr System einen Authentifizierungscode anfordern. Öffnen Sie die Google Authenticator App und geben Sie den angezeigten Code ein.
Nach erfolgreicher Eingabe des Codes können Sie Ihr Benutzerpasswort eingeben.
Hinweis: Die Konfiguration des Google Authenticators unter Linux betrifft nicht nur den Anmeldemanager. Jeder Versuch, Root-Zugriff zu erlangen, Sudo-Rechte zu verwenden oder andere passwortgeschützte Aktionen durchzuführen, erfordert die Eingabe eines Authentifizierungscodes.
Fazit
Die direkte Integration der Zwei-Faktor-Authentifizierung in den Linux-Desktop erhöht die Sicherheit erheblich. Sie erschwert den unbefugten Zugriff auf Ihr System erheblich.
Obwohl die Zwei-Faktor-Authentifizierung manchmal etwas umständlich sein kann (z. B. wenn Sie zu langsam mit dem Authentifikator sind), ist sie insgesamt eine wertvolle Ergänzung für jeden Linux-Desktop-Manager.