Moin, ich habe Interesse meinen Login an Leap abzusichern. (Etwas was ich weis habe ich schon; Jetzt will ich das verschärfen mit 'Etwas was ich habe' ;-) Ich denke da an einen YubiKey oder ähnliches. Ist da schon etwas im Leap eingebaut oder muss ich da selbst erfinderisch werden? Bernd -- Die normative Kraft des Faktischen behindert die Entwicklung zum Besseren.
Am Donnerstag, 28. Juli 2022, 09:46:16 CEST schrieb Bernd Nachtigall:
hast du ein Smartphone? Wenn ja, installiere Dir FreeOTP+ auf android, oder den google authenticator oder FreeOTP (android und iphone). Danach brauchst Du nur noch das PAM modul für OTP, und natürlich vi, und das ist beides schon in Leap dabei. Auf meinem Laptop läuft das übrigens so, dass ich die 2FA-authentifizierung nur dann brauche wenn der Laptop nicht daheim im LAN ist (mach ich über ein Network Manager dispatcher script, welches u.a. prüft wie die MAC adresse vom default gateway aussieht). Cheers MH
-- Mathias Homann Mathias.Homann@openSUSE.org OBS: lemmy04 Jabber (XMPP): lemmy@tuxonline.tech Matrix: @mathias:eregion.de IRC: [Lemmy] on liberachat and ircnet (bouncer active) keybase: https://keybase.io/lemmy gpg key fingerprint: 8029 2240 F4DD 7776 E7D2 C042 6B8E 029E 13F2 C102
Hallo Mathias das klingt doch interessant! Kannst Du das etwas genauer erläutern, wo muss man was (mit vi :-) ändern? Kannst Du das dispatcher script hier teilen? das wäre super. Bye Jürgen Am Donnerstag, 28. Juli 2022, 10:00:08 CEST schrieb Mathias Homann:
-- Dr.rer.nat. Jürgen Vollmer, Am Rennbuckel 21, D-76185 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de ------------------------------------------------------------------------------- Diese EMail ist elektronisch mittels GPG / PGP signiert. Diese elektronische Unterschrift ist in einem EMail-Anhang enthalten. Leider kann die Signatur ohne die Installation entsprechender Programme weder geprüft noch angezeigt werden. Mehr dazu unter: http://www.gnupg.org oder auch http://www.pgpi.org -------------------------------------------------------------------------------
Am 28.07.2022 um 10:25 schrieb Dr. Juergen Vollmer:
Was du brauchst ist das paket google-authenticator-libpam, und einen OTP client auf einem Telefon. In dem Paket ist ein Readme mit drin da steht genau was man wo in der pam configuration dreht. Ein paar tips: 1. wenn man an PAM rumdreht sollte man IMMER eine weitere Shell-session als root auf dem gleichen system offen haben, die man erst dann schliesst wenn alles funktioniert. 2. Wenn man OTP-accounts generiert (oder meinswegens dann auch 2FA auf facebook, twitter, oder wo auch sonst) aktiviert, macht man sich einen screenshot von dem QR-Code den man mit dem Telefon scannen soll um den Code in FreeOTP zu importieren, und legt den irgendwo sicher ab. Wenn's keine sichere private cloud gibt: Ausdrucken & wegheften. 3. Es gibt auch Desktop-OTP-Clients für linux und auch für windows. Die importieren dann die QR-Codes per Zwischenablage - also öffnet man den abgespeicherten screenshot aus 2.... 4. Es ist eine sehr gute Idee wenn man FreeOTP auf mehr als einem Gerät hat, und alle codes auf beiden installationen. Warum? Ganz einfach: MURPHY IST EIN ARSCH. Handybatterie leer wenn du ganz dringend an einen 2FA-Gesicherten Account ran musst? Das willst Du nicht. Echt nicht.
Kannst Du das dispatcher script hier teilen?
Ist kein Hexenwerk - in /etc/NetworkManager/dispatcher.d und/oder /usr/lib/NetworkManager/dispatcher.d liegen genug scripte rum bei denen du abkupfern kannst :) Die Scripte werden übrigens in alphabetischer Reihenfolge abgeklappert, also benenne man sein eigenes Werk entsprechend - meins heisst zzz-amihome.sh und wird dadurch immer als allerletztes aufgerufen :) Und um festzustellen ob man im heimnetz ist? arping, ip neigh, und grep. arping <ip> funkioniert nur wenn die <ip> auch im gleichen subnetz ist - man pinge die interne adresse vom router, und kucke dann mit "ip neigh" und grep ob die mac adresse stimmt. Der rest ist dann if() ;) Cheers MH -- Mathias Homann Mathias.Homann@openSUSE.org Jabber (XMPP): lemmy@tuxonline.tech IRC: [Lemmy] on freenode and ircnet (bouncer active) keybase: https://keybase.io/lemmy gpg key fingerprint: 8029 2240 F4DD 7776 E7D2 C042 6B8E 029E 13F2 C102
Am 28.07.22 um 10:00 schrieb Mathias Homann:
Du meinst pam_oath, ja? Ja, auch ein 2nd Factor. Aber nicht genau das was ich mir vorstelle. Smartphone ist mir zu umständlich ... Trotzdem interessant ... danke für den Tipp! Bernd -- Die normative Kraft des Faktischen behindert die Entwicklung zum Besseren.
Am Donnerstag, 28. Juli 2022, 09:46:16 CEST schrieb Bernd Nachtigall:
hast du ein Smartphone? Wenn ja, installiere Dir FreeOTP+ auf android, oder den google authenticator oder FreeOTP (android und iphone). Danach brauchst Du nur noch das PAM modul für OTP, und natürlich vi, und das ist beides schon in Leap dabei. Auf meinem Laptop läuft das übrigens so, dass ich die 2FA-authentifizierung nur dann brauche wenn der Laptop nicht daheim im LAN ist (mach ich über ein Network Manager dispatcher script, welches u.a. prüft wie die MAC adresse vom default gateway aussieht). Cheers MH
-- Mathias Homann Mathias.Homann@openSUSE.org OBS: lemmy04 Jabber (XMPP): lemmy@tuxonline.tech Matrix: @mathias:eregion.de IRC: [Lemmy] on liberachat and ircnet (bouncer active) keybase: https://keybase.io/lemmy gpg key fingerprint: 8029 2240 F4DD 7776 E7D2 C042 6B8E 029E 13F2 C102
Hallo Mathias das klingt doch interessant! Kannst Du das etwas genauer erläutern, wo muss man was (mit vi :-) ändern? Kannst Du das dispatcher script hier teilen? das wäre super. Bye Jürgen Am Donnerstag, 28. Juli 2022, 10:00:08 CEST schrieb Mathias Homann:
-- Dr.rer.nat. Jürgen Vollmer, Am Rennbuckel 21, D-76185 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de ------------------------------------------------------------------------------- Diese EMail ist elektronisch mittels GPG / PGP signiert. Diese elektronische Unterschrift ist in einem EMail-Anhang enthalten. Leider kann die Signatur ohne die Installation entsprechender Programme weder geprüft noch angezeigt werden. Mehr dazu unter: http://www.gnupg.org oder auch http://www.pgpi.org -------------------------------------------------------------------------------
Am 28.07.2022 um 10:25 schrieb Dr. Juergen Vollmer:
Was du brauchst ist das paket google-authenticator-libpam, und einen OTP client auf einem Telefon. In dem Paket ist ein Readme mit drin da steht genau was man wo in der pam configuration dreht. Ein paar tips: 1. wenn man an PAM rumdreht sollte man IMMER eine weitere Shell-session als root auf dem gleichen system offen haben, die man erst dann schliesst wenn alles funktioniert. 2. Wenn man OTP-accounts generiert (oder meinswegens dann auch 2FA auf facebook, twitter, oder wo auch sonst) aktiviert, macht man sich einen screenshot von dem QR-Code den man mit dem Telefon scannen soll um den Code in FreeOTP zu importieren, und legt den irgendwo sicher ab. Wenn's keine sichere private cloud gibt: Ausdrucken & wegheften. 3. Es gibt auch Desktop-OTP-Clients für linux und auch für windows. Die importieren dann die QR-Codes per Zwischenablage - also öffnet man den abgespeicherten screenshot aus 2.... 4. Es ist eine sehr gute Idee wenn man FreeOTP auf mehr als einem Gerät hat, und alle codes auf beiden installationen. Warum? Ganz einfach: MURPHY IST EIN ARSCH. Handybatterie leer wenn du ganz dringend an einen 2FA-Gesicherten Account ran musst? Das willst Du nicht. Echt nicht.
Kannst Du das dispatcher script hier teilen?
Ist kein Hexenwerk - in /etc/NetworkManager/dispatcher.d und/oder /usr/lib/NetworkManager/dispatcher.d liegen genug scripte rum bei denen du abkupfern kannst :) Die Scripte werden übrigens in alphabetischer Reihenfolge abgeklappert, also benenne man sein eigenes Werk entsprechend - meins heisst zzz-amihome.sh und wird dadurch immer als allerletztes aufgerufen :) Und um festzustellen ob man im heimnetz ist? arping, ip neigh, und grep. arping <ip> funkioniert nur wenn die <ip> auch im gleichen subnetz ist - man pinge die interne adresse vom router, und kucke dann mit "ip neigh" und grep ob die mac adresse stimmt. Der rest ist dann if() ;) Cheers MH -- Mathias Homann Mathias.Homann@openSUSE.org Jabber (XMPP): lemmy@tuxonline.tech IRC: [Lemmy] on freenode and ircnet (bouncer active) keybase: https://keybase.io/lemmy gpg key fingerprint: 8029 2240 F4DD 7776 E7D2 C042 6B8E 029E 13F2 C102
Am 28.07.22 um 10:00 schrieb Mathias Homann:
Du meinst pam_oath, ja? Ja, auch ein 2nd Factor. Aber nicht genau das was ich mir vorstelle. Smartphone ist mir zu umständlich ... Trotzdem interessant ... danke für den Tipp! Bernd -- Die normative Kraft des Faktischen behindert die Entwicklung zum Besseren.
participants (3)
-
Bernd Nachtigall -
Dr. Juergen Vollmer -
Mathias Homann