2FA mittels google auth

Hallo Zusammen,

auf meinen Server nutze ich 2FA mittel OTPs(Einmalpasswörter). Wird z.B. bei sudo verwendet.

Jetzt ist mir aber aufgefallen, dass es so wie ich einsetze keinen sinn macht.

Zum Einsatz kommt google auth. Mittels des Befehls google-authenticator wird der Secret-Key erzeugt.
Das Problem ist aber der Login. Per SSH erfolgt dieser entweder über Key-basiert. Oder per Password.

Jetzt kann ein Angreifer aber das Passort abgreifen und sich dann auf den Server einloggen. Bisher dachte ich dass er dann kein sudo ausführen kann, da er ja 2FA benötigt. Aber Pustekuchen. Er kann sich ja einfach einen neuen AuthCode selber erzeugen ("google-authenticator").
Somit ist dieser Schutz ja (bisher) sinnlos.

Meine Ideen sind jetzt folgende:

  1. Beim Login einfach Passwort + 2FA aktivieren. Kann ich hier sagen, dass 2FA nur für bestimmte Gruppen aktiviert wird (nur die, die auch in der Gruppe sudo sind)?
  2. Der Befehl google-authenticator kann nicht von jedem ausgeführt werden.

1. wäre denke ich die Bessere Lösung. Lässt sich das mittels PAM auf Gruppenebene umsetzen?

Danke und Gruß
 

Werbung

Top