Posts by Judge of Death

    Ich zeige euch wie man einen SSH-Zugang auf einem Server mit einer einfachen 2-Faktor-Authentifizierung (Im Text 2FA) noch verschärfen kann.


    Ich habe als Referenz mein Ubuntu 18.04 Server benutzt. Diese Anleitung sollte auch auf Debian funktionieren und abwärtskompatibel sein.



    1. Vorbereitungen
    2. Installation
    3. 2FA für Benutzer einrichten
    4. 2FA für login einschalten





    1. Vorbereitungen:


    - Wir benötigen einen SSH-Zugriff mit sudo Rechten auf den zu sichernden Server
    - Wir benötigen eine Authentification App auf unserem Smartphone für QR Code wie Google Authentificator oder Authy (Ich empfehle Authy)



    2. Installation:


    Die Installation ist einfach. Wir benötigen das Google PAM Modul. Dieses kann für Authy und Google-Authentificator benutzt werden.


    Das Modul installieren wir mit folgendem Befehl:


    Code
    sudo apt-get install libpam-google-authenticator


    Wenn die Installation erfolgreich abgeschlossen ist, können wir die 2FA für die Benutzer aktivieren.



    3. 2FA für Benutzer einrichten:


    Dieser Schritt muss in der Bash vom Benutzer ausgeführt werden, damit die PAM-Authentification für diesen Benutzer aktiviert ist. Anschliessend führen wir folgenden Befehl aus:


    Code
    google-authenticator


    Wir werden nun gefragt, ob wir einen zeitbasierten Token oder einen statischen Token wollen. Wir benutzen den time-based, und bestätigen mit y:



    Code
    Do you want authentication tokens to be time-based (y/n) y


    Nun sehen wir folgende Informationen:


    QR-Code: Diesen QR-Code müssen wir mit unserer 2FA-App (Authy) abscannen, um die Synchronisation zu aktivieren.
    Secret Key: Diesen Key kann man alternativ in der Auth-App eintragen, wenn man keine QR-Codes benutzen will/kann.
    Verfication Code: der Erste sechsstellige Code der generiert wurde.
    Emergency-scratch-codes: auch bekannt als Back-up Codes. Sie werden benötigt um bei Verlust der App (defektes Smartphone usw) die 2FA wieder zu aktivieren. Sicher aufbewahren!



    Nachdem wir auf unserem Smartphone die PAM für den Benutzer eingerichtet haben, müssen wir noch weitere Fragen beantworten.


    Hier wird nachgefragt, ob wir unser .google_authentificator file ersetzen bzw. erstellen wollen. Wir bestätigen mit y.


    Code
    Do you want me to update your "~/.google_authenticator" file (y/n) y



    Die folgenden Fragen müssen nach eigenem Ermessen beantwortet werden. Ich habe mich für den Standard entschieden.


    Code
    Do you want to disallow multiple uses of the same authentication
    token? This restricts you to one login about every 30s, but it increases
    your chances to notice or even prevent man-in-the-middle attacks (y/n) y


    Code
    By default, tokens are good for 30 seconds and in order to compensate for
    possible time-skew between the client and the server, we allow an extra
    token before and after the current time. If you experience problems with poor
    time synchronization, you can increase the window from its default
    size of 1:30min to about 4min. Do you want to do so (y/n) n


    Code
    If the computer that you are logging into isn't hardened against brute-force
    login attempts, you can enable rate-limiting for the authentication module.
    By default, this limits attackers to no more than 3 login attempts every 30s.
    Do you want to enable rate-limiting (y/n) y




    4. 2FA für login einschalten:



    :!: Beim SSH-Deamon muss die PAM aktiviert werden, sonst kann man sich nicht mehr in der Shell einlogen :!:



    Um die PAM-Abfrage zu aktiviern öffnen wir das File

    Code
    /etc/pam.d/common-auth

    und fügen am Ende folgende Zeile hinzu:


    Code
    auth required pam_google_authenticator.so nullok


    Zum Beispiel:




    Anschliessend aktiviern wir bei dem ssh-deamon noch die PAM-Authentifikation. Dazu öffnen wir die

    Code
    /etc/ssh/sshd_config

    und ändern folgende Zeile von No zu Yes:


    Code
    ChallengeResponseAuthentication yes


    Jetzt den ssh deamon neu starten mit

    Code
    service sshd restart




    Beim nächsten Login sollte nach dem eingeben des Passworts die 2FA-Abfrage kommen.





    Visit original Website: https://www.digitalocean.com/c…ntication-on-ubuntu-18-04

    Hallo Fans


    Um einen Wargame Red Dragon dedicated server auf einem Ubuntu Server 18.04 (bionic) laufen zu lassen, benötigt man eine 32-bit Architektur.


    Hier möchte ich euch zeigen, wie ihr die nötigen lib's in euer System einbindet.


    Zuerst aktivieren wir die 32-bit Architektur und laden die repo's neu:


    Code
    dpkg --add-architecture i386
    apt update


    Anschliessend installieren wir die nötigen Bibliotheken:


    Code
    apt install lib32ncurses5 lib32z1 libuuid1:i386 libuuid1:i386 libssl1.0.0:i386 libc6:i386 libstdc++6:i386



    Nun können wir den Wargame Red Dragon dedicated starten.


    Greez Judge

    Hallo Linux-Gemeinde


    Ich möchte hier noch eine Möglichkeit zeigen, wie man fehlende Pakete ausfindig macht und installiert. Als Beispiel nehme ich eine 32-bit libary mit dem Namen "libssl.so.1.0.0".


    Als ALLERALLERerstes muss die 32-bit Architektur aktiviert werden (möglicherweise ist sie per default aktiviert, muss aber nicht zwingend sein:


    Code
    dpkg --add-architecture i386



    Um das Paket zu suchen, nutzen wir die repositiy von Linux und ein kleines hilfreiches Tool:


    Code
    apt install apt-file


    Anschliessend suchen wir das benötigte Paket mit folgendem Befehl:


    Code
    apt-file search libssl.so.1.0.0


    Die Ausgabe sieht irgendwie so aus:


    Code
    root@server01:/home/server# apt-file search libssl.so.1.0.0
    libssl1.0.0: /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0


    Wir wissen nun, das unser benötigtes Paket libssl1.0.0 heisst und wir können es mit folgendem Befehl installieren:


    Code
    apt install libssl1.0.0:386


    :i386 steht hier für die 32-BIT Architektur



    Greez Judge

    Hallo Community


    Ich möchte euch noch mitteilen, wie man unter Ubuntu/Debian das IPv6 Protokoll systemweit deaktivieren kann. Dies wird direkt im bootloader unterbunden und ist entsprechend überall deaktiviert. Es gibt eine Alternative via systemctl, welche aber nach dem Neustart manuell aktiviert werden muss. Meiner Meinung nach eine unschöne Methode.


    Und so funktionierts:


    die Datei "/etc/default/grub" editieren und folgenden Eintrag machen:


    Code
    GRUB_CMDLINE_LINUX_DEFAULT="ipv6.disable=1"


    anschliessend die grub updaten und den Server neu starten:


    Code
    sudo update-grub
    sudo reboot


    Anschliessend sollte IPv6 komplett deaktiviert sein. Überprüfen lässt es sich mit folgendem Befehl:


    Code
    ip addr show | grep inet6


    Sofern keine Ausgabe kommt, ist IPv6 deaktiviert.


    HF & GL
    Greez Judge

    Hey Fans


    Ich möchte hier noch kurz einen kleinen Input hinterlassen, wie man unter Ubuntu/Debian einen Speedtest aus der Konsole machen kann.



    Zuerst muss das nötige paket installiert werden:


    Code
    apt install -y speedtest-cli


    Um den Speedtest zu starten, kann man folgenden Befehl in der Konsole eingeben:


    Code
    speedtest-cli


    Mit diesem Befehl wird der gemäss Distanz nächste Anbieter getested. Möchte man auf eine nanderen Anbieter(z.B in einem anderen Land) machen, holt man sich am besten die Liste in ein lokales File. Dies kann mit folgendem Befehl gemacht werden:


    Code
    speedtest-cli  --list >server.txt


    nun kann man die server.txt mit seinem priorisiertem Editor öffnen und sich einen Server aussuchen. Entsprechend die Nummer vor dem Server merken und dann in folgendem Befehl einfügen:


    Code
    speedtest-cli --server 24031



    HF & GL


    Greez Judge

    Heyhey


    Ich möchte mich erkundigen, ob sich hier schon mal jemand mit mobile Internet als backup internet für einen ESXi Server auseinandergesetzt hat?


    Die konkretteren Fragen sind:


    - Kann ich einen USB Mobile Internet Stick am USB-Port des Servers betreiben und diesen direkt in die pfsense routen um dort die PPPoE Anmeldung zu konfigurieren?


    - Gibt es Modelle die gut dafür geeigent sind?


    - Funktioniert dies mit ESXi? oder benötige ich eine volle ESX Installation (Lizenzen habe ich noch)


    Gerne nehme ich eure Anregungen an, oder auch alternative Idee'n sind hertzlich willkommen :D


    Greez Judge

    Sali mitenand


    Han no wele informiere, das zwüsched Wiehnacht und Neujohr e LAN ufem Programm stoht:


    Do es paar Details:


    27.12.2014 bis max 31.12.2014
    ab 18:00


    Ort leider nüm am gliche Ort, isch in Kefikon bim Banane alias Dani i de grosse werkstatt


    grossi tisch



    ca. 15 fixi plätz, 3 flexibli


    gueti fleischchuchi, Smoker ready



    schlofplätz, chilloutlounge mit beamer und konsole,



    amelde via mail a mich.


    greez Kamikatze alias Cap


    greetings from dani alas banane und cereal