LinuxUser Office Perfekt (Vorschau)

NETZ&SYSTEM
YubiKey (Teil 2)
G Ein Ausschnitt aus
der Datei /etc/pam.d/
sshd mit den eingefügten
PAM-Modulen.
DIE AUTOREN„
Thomas Osterried
verwendet Linux seit
Anfang der 90er-Jahre
und arbeitet als Freelancer
mit Linux systemnah
in den Bereichen
Virtualisierung
und Embedded-
Systeme in LAN und
WLAN.
Frank Hofmann
(http:// www. efho. de)
hat Informatik an der
Technischen Universität
Chemnitz studiert.
Der Spezialist für
Druck und Satz koordiniert
seit 2008 das
Regionaltreffen der Linux
User Groups aus
der Region Berlin-
Brandenburg.
Beide Autoren arbeiten
in Berlin im
Büro 2.0, einem
Open-Source Experten-Netzwerk,
und
sind darüber hinaus
Mitgründer des Schulungsunternehmens
Wizards of FOSS.
DANKSAGUNG
Die Autoren bedanken
sich bei Wolfram
Eifler für Kritik, Anmerkungen,
Kommentare
und Ergänzungen
im Vorfeld der Arbeit
an diesem Artikel.
Nachdem Sie die modifizierte
/ etc/pam.d/sshd gespeichert haben,
sollten Sie noch die Benutzerrechte
der Datei einschränken:
Mit chmod 600 /etc/pam.d/ssh sorgen
Sie dafür, dass nur root die
Datei lesen und schreiben darf.
Damit auf dem Zielsystem ein
Abgleich erfolgen kann, müssen
Sie noch die Private-ID ihres
YubiKey hinterlegen. Dazu legen
Sie als normaler Benutzer in Ihrem
Home-Verzeichnis auf dem
Zielsystem das Verzeichnis .yubico
und darin die Textdatei authorized_yubikeys
an. In der Datei
identifizieren Sie alle YubiKeys,
mit denen Sie sich am System anmelden
wollen. Nach dem jeweiligen
Benutzernamen folgen die
Private-IDs der zugehörigen
YubiKeys, jeweils durch einen
Doppelpunkt voneinander getrennt
(Listing 1).
Um zu verhindern, dass ein anderer
Benutzer diese Datei lesen
und damit kopieren kann, um
sich unberechtigt mit Ihrem
Schlüssel anmelden zu können,
ändern Sie noch die Zugriffsrechte
entsprechend:
$ chmod 700 $HOME/.yubico; chmodU
600 $HOME/.yubico/authorized_yuU
bikeys
Danach testen Sie die Anmeldung
über SSH und bauen dazu von Ihrem
lokalen System aus eine Verbindung
zum Zielsystem auf.
Geben Sie Ihre PIN sowie Ihr
Yubico-OTP als Geheimnisse ein.
Auf dem Zielsystem nimmt der
SSH-Daemon die Eingaben entgegen,
verifiziert diese via PAM und
gibt bei Erfolg eine Shell frei.
Haken und Ösen
Die Anmeldung und Authentifizierung
via YubiKey hat Vor- und
Nachteile. Implementieren Sie
das oben beschriebene
Verfahren,
müssen
sich fortan alle
Benutzer, die sich
per SSH auf das
Zielsystem verbinden, mit einer
2-Faktor-Autorisierung anmelden
und sich dazu mit ihrem eigenen
YubiKey ausweisen. Ist der
Schlüssel nicht zur Hand oder
ging verloren, können sie sich
nicht mehr anmelden. Das Login
klappt erst wieder, nachdem mit
administrativer Hilfe der bestehende
Schlüssel in der Datei authorized_yubikeys
ausgetragen, ein
Ersatzschlüssel ergänzt und dem
Benutzer der neue YubiKey ausgehändigt
wurde.
Die Authentifizierung gelingt
nur im Zusammenspiel mit einem
Validierungsserver, in unserem
Beispiel mit der YubiCloud. Wir
haben diese hier gewählt, weil Sie
dadurch sofort mit dem vorgestellten
YubiKey experimentieren
können. Bedenken Sie aber, dass
es sich bei der YubiCloud um einen
Dienst außerhalb Ihres Netzwerks
handelt und daher zur erfolgreichen
Anmeldung stets eine
Internetverbindung vom Zielsystem
aus dahin bestehen muss.
Eigener Validierungsserver
Als Administrator geben Sie freilich
ungern die Validierung aus
der Hand. Als eigene Lösungen
für den Server kommt der in C
geschriebene YubiServer ([7],[8])
infrage, von dem alternative Implementierungen
in Python [9],
Java [10] und PHP [11] zur Verfügung
stehen. Der YubiServer
versteht sich als „simpler und
leichtgewichtiger Validierungsserver
für Yubico-OTP und
HOTP/ OATH“ und bringt die
Oberfläche Yubiserver-admin
mit, mit deren Hilfe Sie Nutzer
und deren Keys verwalten.
LISTING 1
$ cat /home/fho/.yubico/
authorized_yubikeys
fho:ccccccbavaev:vvkiknackeil
Im Unternehmensumfeld ist die
PHP-Variante die erste Wahl, die
zusätzlich das HSM-Protokoll
zum Hardware Key Storage Module
YubiHSM [12] implementiert.
Eine Authentifizierung via
Radius (Modul YubiRadius [13])
und die Anbindung an den freien
Dienstleister OpenID [14] ergänzen
die Palette.
Fazit
Mit dem YubiKey gelingt eine
sinnvolle und sichere Erweiterung
jedes Sicherheitskonzepts
um eine 2-Faktor-Authentifizierung.
Die geschilderten Beispiele
zeigen recht anschaulich, an welchen
Schrauben es zu drehen gilt.
Passende Debian-Pakete und Tutorials
stehen zum Einsatz bereit,
was den Einstieg erleichtert. Das
effektive Einrichten setzt jedoch
ein Grundwissen rund um die
Protokolle zur Authentifizierung
voraus. (jlu) n
INFO
[1] YubiKey (Teil 1): Thomas Osterried,
Frank Hofmann, „Ausbuchstabiert“,
LinuxUser 09/ 2012, S. 18,
http:// www. linux-community. de/ 25925
[2] Debian-Paket yubikey-personalization:
http:// packages. debian. org/ squeeze/
yubikey-personalization
[3] Debian-Paket yubikey-personalization-gui:
http:// packages. debian. org/ wheezy/
yubikey-personalization-gui
[4] Github-Repository von Yubico:
https:// github. com/ Yubico/
[5] YubiCloud:
http:// www. yubico. com/ yubicloud
[6] Debian-Paket libyubikey: http:// packages.
debian. org/ squeeze/ libyubikey0
[7] YubiServer: http:// yubiserver. include. gr
[8] YubiKey Validation Server (C):
http:// err. no/ personal/ blog/ 2010/ Mar/ 16
[9] YubiKey Validation Server (Python): http://
code. google. com/ p/ yubico-yubiserve/
[10] YubiKey Validation Server (Java):
http:// code. google. com/ p/ yubikey-server-j
[11] YubiKey Validation Server (PHP): http://
code. google. com/ p/ yubikey-val-server-php/
[12] Yubico HSM Module:
http:// www. yubico. com/ YubiHSM
[13] YubiRadius:
http:// www. yubico. com/ yubiradius
[14] OpenID: http:// openid. net
72 10 | 12
www.linux-user.de