Wie man 2FA/TOTP auf einem VPS aktiviert

Wie man 2FA/TOTP auf einem VPS aktiviert (Head Image)

Diese Anleitung führt dich durch den Prozess, wie man 2FA/TOTP auf einem VPS aktiviert. Bevor wir in das „wie“ eintauchen, sollten wir das „was“ und „warum“ ansprechen, um die Voraussetzungen für eine sicherere und widerstandsfähigere virtuelle Umgebung zu schaffen.

Was ist 2FA/TOTP?

Zwei-Faktor-Authentifizierung (2FA) ist ein Sicherheitsprozess, der eine zusätzliche Ebene der Verifizierung über ein Passwort hinaus hinzufügt. In der Regel handelt es sich um etwas, das du kennst (wie ein Passwort) und etwas, das du hast (wie ein mobiles Gerät). Zeitbasierte One-Time Passwörter (TOTP) stellen eine bestimmte Form von 2FA dar, bei der in regelmäßigen Abständen ein spezielles Passwort generiert wird (in der Regel 30 Sekunden), die dem Authentifizierungsprozess ein dynamisches und zeitsensibles Element zur Verfügung stellen.

Warum 2FA/TOTP auf einem VPS aktivieren?

Die digitale Landschaft ist voller potenzieller Bedrohungen, und VPS-Server bilden keine Ausnahme. Die Aktivierung von 2FA/TOTP auf einem VPS erhöht die Sicherheit des Servers erheblich. Passwörter allein sind anfällig für verschiedene Angriffe, wie Brute-Force-Angriffe und Phishing. Durch die Einführung einer zweiten Authentifizierungsschicht stärkst du deine Verteidigung gegen unbefugten Zugriff, wodurch das Risiko von Datenverletzungen und potenziellen Kompromissen verringert wird.

Wenn du mehr über die Sicherung deines VPS erfahren möchtest, lies unseren Guide „Kostenlose Tools zur Überwachung und Prüfung der Sicherheit eines Servers oder VPS„.

Voraussetzungen

Bevor du dich auf die Reise begibst, Zwei-Faktor-Authentifizierung (2FA) mit zeitbasierten One-Time Passwörtern (TOTP) auf deinem Virtual Private Server (VPS) zu aktivieren, stelle sicher, dass du die folgenden Voraussetzungen erfüllst.

VPS-Zugriff

Um Sicherheitsmaßnahmen umzusetzen, musst du eine Verbindung zu deinem Server über SSH herstellen und administrativen Zugriff auf deinen VPN haben. Stelle sicher, dass du über die notwendigen Zugangsdaten und Berechtigungen verfügst, um Konfigurationsänderungen vorzunehmen. Falls du nicht der Administrator bist, stimme dich mit der Person oder dem Team ab, das für die Verwaltung des VPS verantwortlich ist.

Nicht sicher, ob du der Root bist – oder was ein „Root“ ist? Kein Problem! Wir unterstützen dich mit unserem „Hilfreichen Guide für Superuser Accounts, sudo & root„.

PuTTY – Ein zuverlässiger SSH-Client

Secure Shell (SSH) ist ein essenzielles Protokoll für den sicheren Zugriff und die Verwaltung deines VPS. PuTTY ist ein weit verbreiteter und zuverlässiger SSH-Client für Windows, den du von den PuTTY Downloads(https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html) herunterladen kannst.

Wenn du einen anderen SSH-Client verwendest, stelle sicher, dass er konfiguriert und bereit ist, sich mit deinem VPN zu verbinden.

SSH-Key-Authentifizierung einrichten

Die Konfiguration der SSH-Key-Authentifizierung ist der erste Schritt zur Sicherung deines Virtual Private Servers (VPS). Eine detaillierte Anleitung zur Einrichtung einer SSH-Key-Authentifizierung findest du in unserem Guide „SSH Keys mit VPS nutzen„.

Sobald du die Einrichtung der SSH-Key-Authentifizierung abgeschlossen hast, kehre hierher zurück, um den Prozess zur Aktivierung der Zwei-Faktor-Authentifizierung (2FA) mit zeitbasierten One-Time Passwörtern (TOTP) auf deinem VPS fortzusetzen.

Installation und Konfiguration von TOTP auf deinem VPS

Nun, da die SSH-Key-Authentifizierung eingerichtet ist, können wir mit der Installation und Konfiguration zeitbasierter One-Time Passwörter (TOTP) fortfahren, um eine zusätzliche Sicherheitsebene auf deinem VPS hinzuzufügen.

Installation der erforderlichen Pakete zur Aktivierung von TOTP

Beginne mit der Installation der notwendigen Pakete, um TOTP zu aktivieren. Die exakten Befehle können je nach Betriebssystem deines VPS variieren. Schaue in der Dokumentation des Paketmanagers deines Systems nach, um eine Anleitung zu erhalten.

Beispielbefehle für ein Debian-basiertes System:

sudo apt-get update
sudo apt-get install libpam-google-authenticator

Konfigurieren von TOTP für SSH

Sobald die erforderlichen Pakete installiert sind, muss TOTP für SSH konfiguriert werden. Bearbeite die SSH-Daemon-Konfigurationsdatei, normalerweise unter `/etc/ssh/sshd_config`, und stelle sicher, dass die folgenden Zeilen vorhanden sind:

ChallengeResponseAuthentication yes
AuthenticationMethods publickey,keyboard-interactive

Speichere die Änderungen und starte den SSH-Dienst neu:

sudo service ssh restart

Sichere deine SSH-Konfiguration

Um die Sicherheit zu erhöhen, deaktiviere die Passwort-Authentifizierung für SSH. Öffne die SSH-Konfigurationsdatei erneut und setze ein:

PasswordAuthentication no

Starte den SSH-Dienst neu, um die Änderungen zu übernehmen.

sudo service ssh restart

TOTP auf einem Mobilgerät einrichten

Nun lass uns die zeitbasierten One-Time Passwörter (TOTP) auf deinem Mobilgerät konfigurieren. Dieser Schritt ermöglicht einen nahtlosen und sicheren Authentifizierungsprozess für den Zugriff auf deinen Virtual Private Server (VPS).

Installation einer TOTP Authentifizierungs-App

Installiere zunächst die TOTP Authentifizierungs-App auf deinem mobilen Gerät. Google Authenticator ist eine beliebte Wahl, aber Alternativen wie Authy oder Microsoft Authenticator funktionieren genauso gut. Besuche den App-Store deines Geräts:

Apps für Android:

Google Authenticator

Microsoft Authenticator

Authy

Apps für iOS:

Google Authenticator

Microsoft Authenticator

Authy

Lade die App herunter und installiere sie.

VPS zur Authentifizierungs-App hinzufügen

1. Öffne die TOTP Authentifizierungs-App.

2. Tippe auf die Option dafür, ein neues Konto hinzuzufügen oder einen Barcode zu scannen.

3. Führe auf deinem VPS folgenden Befehl aus, um einen QR-Code für das TOTP-Setup zu generieren:

google-authenticator

4. Scanne den QR-Code mit deiner TOTP Authentifizierungs-App oder gib manuell den angegebenen Schlüssel ein.

Erstelle und speichere Backup-Codes

Erstelle und speichere die Sicherheitscodes als Vorsichtsmaßnahme. Diese Codes fungieren als Failsafe, falls du den Zugriff auf dein mobiles Gerät verlierst. Während des Setup-Prozesses (Schritt 3) wirst du aufgefordert, Backup-Codes zu generieren. Speichere diese Codes an einem sicheren Ort, wie zum Beispiel einem Passwort-Manager oder einem physischen Backup.

Mit der Einrichtung von TOTP auf deinem mobilen Gerät erfordert dein VPS nun sowohl eine SSH-Key-Authentifizierung als auch einen zeitabhängigen Code von deiner Authentifizierungs-App für den Zugriff, was die Sicherheit deines Servers deutlich erhöht.

Testen der TOTP-Authentifizierung

Vor dem Abschluss des Setups ist es besonders wichtig, die TOTP-Authentifizierung zu testen, um deren Wirksamkeit zu bestätigen. Versuche, dich per SSH in deinen VPS einzuloggen, und du solltest sowohl nach deinem SSH-Key als auch nach dem von deiner Authentifizierungs-App generierten TOTP gefragt werden.

ssh your_username@your_vps_ip 

Wenn dies erfolgreich war, hast du erfolgreich zeitbasierte One-Time Passwörter auf deinem VPS konfiguriert. Fahre nun mit den nächsten Schritten fort, um die Implementierung abzuschließen und deinen Server weiter zu sichern.

2FA/TOTP erzwingen

Nun, da zeitbasierte One-Time Passwörter (TOTP) konfiguriert sind, ist es an der Zeit, die Zwei-Faktor-Authentifizierung (2FA) auf deinem VPN durchzusetzen. Dies stellt sicher, dass der Zugriff auf deinen Server sowohl die SSH-Key-Authentifizierung als auch die von deinem mobilen Gerät erzeugte dynamische TOTP erfordert.

SSH-Konfiguration anpassen

Öffne deine SSH-Konfigurationsdatei, normalerweise unter `/etc/ssh/sshd_config`, und stelle sicher, dass die folgenden Einstellungen konfiguriert sind:

ChallengeResponseAuthentication yes
AuthenticationMethods publickey,keyboard-interactive
PasswordAuthentication no

Speichere die Änderungen und starte den SSH-Dienst neu:

sudo service ssh restart

Diese Einstellungen stellen sicher, dass SSH sowohl die Authentifizierung des öffentlichen Keys als auch die TOTP-Challenge benötigt.

Passwort-Authentifizierung deaktivieren

Um die Sicherheit weiter zu stärken, kann die Passwort-Authentifizierung vollständig deaktiviert werden. Bestätige, dass die folgende Zeile in deiner SSH-Konfigurationsdatei vorhanden ist:

PasswordAuthentication no 

Starte den SSH-Dienst erneut neu, um die Änderungen zu übernehmen.

sudo service ssh restart 

Anpassen von Sicherheitsgruppen/Firewall-Regeln

Wenn sich dein VPS hinter einer Firewall oder Sicherheitsgruppe befindet, stelle sicher, dass die notwendigen Ports für SSH (typischerweise Port 22) geöffnet sind. Bestätige außerdem, dass die Sicherheitsgruppe oder Firewall den Verkehr für den gewählten TOTP-Port erlaubt (oft UDP-Port 123). Passe diese Regeln bei Bedarf an die spezifischen Gegebenheiten deines Servers an.

Mit diesen Bearbeitungen erzwingt dein VPS nun die Zwei-Faktor-Authentifizierung mit zeitbasierten One-Time Passwörtern und verbessert damit die Sicherheit deines Servers. Stelle eine erfolgreiche Authentifizierung sicher, indem du den Zugang sowohl mit dem SSH-Key als auch mit den TOTP-Anforderungen testest.

Fazit

Zum Abschluss dieses Guides über die Aktivierung der Zwei-Faktor-Authentifizierung (2FA) mit zeitbasierten Einmalpasswörtern (TOTP) auf einem Virtual Private Server (VPS) möchten wir die Vorteile zusammenfassen und einige abschließende Überlegungen zur Verbesserung der Sicherheit deines Servers anstellen.

Zusammenfassung der Vorteile der Aktivierung von 2FA/TOTP

Die Aktivierung von 2FA/TOTP auf deinem VPS bietet eine robuste Verteidigung gegen unbefugten Zugriff und potenzielle Sicherheitsbedrohungen. Durch die Kombination von SSH-Key-Authentifizierung mit dem dynamischen Element TOTP hast du einen mehrschichtigen Sicherheitsansatz geschaffen. Zu den Vorteilen gehören:

  • Verbesserte Sicherheit: Zwei Authentifizierungsschichten reduzieren das Risiko eines nicht-autorisierten Zugriffs erheblich, auch wenn ein Faktor kompromittiert ist.
  • Schutz vor Brute-Force-Angriffen: Die dynamische Natur der TOTP-Codes macht das erfolgreiche Ausführen von Brute-Force-Attacken schwieriger.
  • Absicherung sensibler Daten: Absicherung sensibler Daten: Wenn dein VPS sensible Daten oder kritische Anwendungen verarbeitet, bietet 2FA/TOTP einen zusätzlichen Schutzschild, der die Integrität und Vertraulichkeit deiner Informationen sicherstellt.
Nach oben scrollen