Permalink

Linux und der Google Authenticator

Ihr kennt bestimmt die Google Authenticator App, welche euch ermöglicht euer Google/Facebbok/Microsoft Konto im Zwei-Faktor Verfahren zu nutzen. Die App generiert einen sechsstelligen Einmalcode, basierend auf Uhrzeit und einem Shared Secret (RFC 6238), welcher zusätzlich zum Benutzernamen und Passwort eingegeben werden muss.

Google Authenticator

Die Jungs von Google stellen auf der Projektseite auch ein PAM (Pluggable Authentication Module) für die Einbindung in ein Linux System zur Verfügung. Mit diesem Modul lassen sich diverse Aktionen (Einloggen, Aufwachen aus dem Bildschirmschoner, SSH Zugriff uvm.) durch dieses Verfahren absichern. Die Einbindung selber ist eigentlich kinderleicht:

Vorbereitung

Zuerst benötigen wir ein Terminal und laden uns ein Zusatzpaket für die Erstellung eines QR-Codes:

Für Debian / Ubuntu

$ apt-get install libqrencode3

Für Arch Linux

$ pacman -Sy qrencode

Installation

Danach haben wir zwei Möglichkeiten das Modul zu installieren:

Installieren über die Paketverwaltung unseres Systems

Für Debian / Ubuntu:

$ apt-get install libpam-google-authenticator

Für Arch Linux gibt es ein Paket im AUR:

$ yaourt -S libpam-google-authenticator

Wir installieren das Modul von Hand

Für Debian / Ubuntu brauchen wir folgende Pakete:

$ apt-get install libpam0g-dev make gcc-c++ wget

Für Arch Linux:

$ pacman -S pam

Nun laden wir uns das Quellpaket und entpacken dieses:

$ cd /usr/src/
$ wget https://google-authenticator.googlecode.com/files/libpam-google-authenticator-1.0-source.tar.bz2
$ tar -xvf libpam-google-authenticator-1.0-source.tar.bz2

Wir wechseln in das neue Verzeichnis, kompilieren und installieren das Modul:

$ cd libpam-google-authenticator-1.0
$ make
$ make install

Konfiguration

Als nächstes starten wir das Programm als den Nutzer, der abgesichert werden soll:

$ google-authenticator

Wir werden ein paar Dinge gefragt, die ich bei mir wie folgt beantwortet habe. Aber letztens muss jeder selbst wissen wie er das Ganze konfigurieren möchte.

Do you want authentication tokens to be time-based (y/n) Y

Do you want me to update your "/home/test/.google_authenticator" file (y/n) Y

Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) Y

By default, tokens are good for 30 seconds and in order to compensate for
possible time-skew between the client and the server, we allow an extra
token before and after the current time. If you experience problems with poor
time synchronization, you can increase the window from its default
size of 1:30min to about 4min. Do you want to do so (y/n) N

If the computer that you are logging into isn't hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting (y/n) Y

Zwischendurch bekommen wir eine URL über die man den QR-Code aufrufen kann, sofern qrencode installiert ist auch direkt einen QR Code, den Geheimen Schlüssel im Klartext, einen Verfication Code und sogenannte „Scratch codes“. Diese sind vorgenerierte Einmalcodes die euch im Notfall den Login ermöglichen. Am Besten schreibt ihr diese auf oder druckt sie aus!

Google Authenticator - Terminal

Einrichtung der App

Nun ist ein guter Zeitpunkt die App auf unseren Smartphone einzurichten (Falls noch nicht vorhanden, einfach aus dem App / Play Store installieren).

Google Authenticator
Entwickler: Google Inc.
Preis: Kostenlos
Google Authenticator
Entwickler: Google, Inc.
Preis: Kostenlos

Hier beispielhaft an Android gezeigt:

Google Authenticator - App Menü
Zuerst rufen wir die App auf und wählen im Menü den Punkt „Konto Einrichten“:

Google Authenticator - App Settings
Hier haben wir die Möglichkeit unseren Linux Rechner hinzuzufügen. Der einfachste weg ist es den Barcode aus dem Terminal zu scannen.

Google Authenticator - Schlüssel hinzufügen
Alternativ kann man auch mit Hilfe des Secret Key das Konto manuell anlegen.

Aktivierung des Moduls

Als nächstes konfigurieren wir unser System so, dass das neue Modul auch genutzt wird:

1. Beispiel: Cinnamon-Screensaver

$ nano /etc/pam.d/cinnamon-screensaver

Folgende Zeile einfügen damit beim Aufwecken aus dem Bildschirmschoner (z.B. nach dem Standby / Ruhezustand) ein Einmalcode benötigt wird:

auth        required     pam_google_authenticator.so

Zum Test einmal in den Ruhezustand versetzen, wieder aufwecken und über das Ergebnis staunen.

Google Authenticator - MDM

2. Beispiel: SSH

Um SSH abzusichern müssen wir zuerst ein paar Änderungen an der ‚/etc/ssh/sshd_config‚ vornehmen:

ChallengeResponseAuthentication yes
UsePAM yes

Danach den SSH Dienst neustarten und die Datei ‚/etc/pam.d/sshd‚ bearbeiten, dass sie die Zeile von oben enthält.

Zusatzinfos

Solltet ihr euer Home-Verzechnis verschlüsselt haben (z.B. wie man es bei der Installation von Ubuntu anwählen kann) und wohl z.B. euren Login-Manager (GDM, MDM, KDM) absichern, muss die Datei ‚.google_authenticator‚ an einem lesbaren Ort liegen. Die Zeile für das Modul könnte dann wie folgt aussehen:

auth            required        pam_google_authenticator.so secret=/home/.ga/${USER}/.google_authenticator
Es gibt verschiedene Parameter für die Einbindung eines PAM:
  • required
    Erfolg ist notwendig für Gesamtbewertung: Erfolg, Fehler führt zur Gesamtbewertung: Misserfolg, es werden trotzdem alle weiteren Module von diesem type ausgeführt
  • requisite
    Erfolg ist notwendig für Gesamtbewertung: Erfolg, Fehler führt zur Gesamtbewertung: Misserfolg und termininiert den Authentisierungsprozess
  • sufficient
    Erfolg ist ausreichend für Gesamtbewertung: Erfolg, Fehler beeinflusst Gesamtbewertung nicht, Erfolg terminiert den Authentisierungsprozess, Ergebnis vorheriger required Module wird berücksichtigt
  • optional
    Erfolg oder Fehler hat nur Bedeutung, wenn es der einzige Module für diesen type ist
Für Windows Phone gibt es eine ähnliche App, diese scheint auch mit Google Konten (und damit auch mit dem Modul) zu funktionieren:
Die App konnte im App Store nicht gefunden werden. :-( #wpappbox

Links: → Store öffnen → Google-Suche
Permalink

Ausprobiert: Snap · Die Online Videothek von Sky

Online Videotheken gibt es mittlerweile wie Sand am Meer. Das fängt bei iTunes an und geht mit maxdome, LOVEFiLM oder Watchever weiter… Selbst Netflix soll auf dem Sprung sein.

Der neuste Spross nennt sich aber vorerst Snap und wurde vom Pay TV Anbieter Sky Mitte Dezember 2013 in Deutschland und Österreich veröffentlicht.

01-2014-01-19_23-57-00_IMG_0808-minishadow

Da bestehende Sky Kunden diesen Dienst bis Ende Januar 2014 kostenlos nutzen dürfen, nutze ich die Chance und möchte nachfolgend meine Erfahrungen mit der iOS App in einem Review bzw. Test darstellen.

Generell ist zu sagen, dass Snap momentan, neben iOS, nur auf dem Mac oder PC im Browser (Silverlight Plugin muss installiert sein) und neueren Samsung Smart TV (ab Baujahr 2012) verfügbar ist. Andere Systeme wie Android, Windows Phone, PlayStation oder XBox sind erst mal außen vor.

Für die breite Masse sind das schon mal denkbar schlechte Voraussetzungen aber sei es drum. Letztendlich zählt das Angebot an Filmen und Serien und die sieht man schon beim ersten Start der iOS App.

02-2014-01-19_23-57-42_IMG_0809-minishadow

Dass genau dieses Angebot an Filmen und Serien für diesen noch recht jungen Video-on-Demand Dienst überschaubar ist, sollte auf der Hand liegen. Es sind dennoch schon etliche Filme und Serien verfügbar. Wer sich hier einen Überblick verschaffen möchte, kann auch ohne Sky-/Snap-Account auf der Snap-Homepage herumstöbern.

Ich muss dennoch sagen, dass gerade das Serienangebot trotz HBO Blockbustern wie Boardwalk Empire, The Sopranos, The Wire oder Rome recht enttäuschend ist. Dieser Umstand, der auch für Filme gilt, hat zwei Ursachen: Zum einen das altbekannte Rechteproblem, zum anderen Sky Go.

Um sich nämlich inhaltlich vom Abrufdienst Sky Go zu unterscheiden, sind aktuelle Filme und Serien vorerst nur dort zu sehen. Snap Nutzer müssen hier also Geduld beweisen. Sky bietet auf seiner Homepage einen recht guten Vergleich von Sky Go und Snap, der die Unterschiede darstellt, an.

09-2014-01-20_00-05-24_IMG_0814-minishadow03-2014-01-20_00-05-53_IMG_0815-minishadow04-2014-01-20_00-02-41_IMG_0813-minishadow

Beim Abspielen von Inhalten auf dem iPhone, iPad oder iPod touch gibt es hingegen nichts zu meckern. Der Stream wird, abhängig von der Internetleitung, in SD und HD angeboten.

Für FSK 16 und FSK 18 Inhalte wird zusätzlich eine (Sky-)PIN verlangt.

05-2014-01-20_19-21-19_IMG_1067-minishadow

Darüber hinaus kann man Filme und Serien über das Sprechblasensymbol unten rechts auch in der Originalsprache ansehen. Untertitel gibt es, entgegen der Einstellmöglichkeiten in der App, leider noch nicht.

Ein weiteres cooles Feature der iOS Snap App ist AirPlay, mit dem man Filme und Serien über das Apple TV auf jeden Fernseher oder Beamer streamen kann. Nach anfänglichen Schwierigkeiten, die mit der neusten Version der Snap App behoben wurden, funktioniert das Ganze sehr gut und ist vom ‘normalen Fernsehen’ nicht zu unterscheiden. Allerdings muss das iPhone oder iPad ständig ‘aktiv’ sein. Im Ruhemodus funktioniert die AirPlay Wiedergabe bisher nicht.

Hat man kein Apple TV zur Hand, lässt sich der Stream auch über ein HDMI Kabel auf den jeweiligen Bildschirm übertragen.

06-2014-01-20_19-22-14_IMG_1071-minishadow07-2014-01-20_19-22-46_IMG_1074-minishadow08-2014-01-20_19-22-26_IMG_1072-minishadow

Ist man einmal nicht online oder möchte Filme und Serien unterwegs ohne Verbrauch von Datenvolumen anschauen, kann man mit Snap auch Inhalte in SD oder HD Qualität herunterladen und im sogenannten Offline Modus ansehen. Dazu muss leider auch gesagt werden, dass aus lizenzrechtlichen Gründen nicht alle Inhalte zum Download bereitstehen.

Das Herunterladen muss auf jeden Fall in Deutschland oder Österreich erfolgen. Das Ansehen ist weltweit möglich.

10-2014-01-20_00-00-44_IMG_0812-minishadow

Hat man Inhalte, die im Gegensatz zur Streaming-Variante beim Download nur mit der deutschen Tonspur zur Verfügung stehen, heruntergeladen, hat man 30 Tage Zeit sich diese anzusehen. Wurde ein Titel einmal abgespielt, verringert sich diese Zeit auf 48 Stunden.

Im Offline Modus können zudem bis zu 25 Titel, davon maximal fünf Filme, gespeichert werden. Wer derartiges vorhat, sollte auch genug freien Speicherplatz auf seinem iDevice haben, denn eine Stunde SD-Inhalte (888 kb/s) belegen ca. 350 bis 400 MB; HD-Inhalte (1288 kb/s) ca. 550 bis 600 MB.

12-2014-01-19_19-46-45_IMG_0807-minishadow13-2014-01-19_18-08-41_IMG_0806-minishadow

Preise und Verfügbarkeit

Wie ich anfangs schon schrieb ist für Sky Kunden dieser VoD Service bis Ende Januar kostenlos. Danach werden monatlich 4,90 Euro fällig, die zusammen mit den Sky-Gebühren vom Konto abgebucht werden.

Nicht-Sky-Kunden können Snap den ersten Monat kostenfrei nutzen und zahlen danach monatlich die branchenüblichen 9,90 Euro. Hier kann per Lastschrift, Kreditkarte oder PayPal gezahlt werden.

Eine Kündigung ist monatlich möglich und erfolgt immer zum Monatsende.

-> http://www.skysnap.de

FAZIT

Vorneweg sollte ich vielleicht sagen, dass Snap mein erster Versuch ist mich ernsthaft mit VoD im monatlichen Abo auseinander zu setzen. Mir fehlen also Vergleichsmöglichkeiten zu Watchever oder LOVEFiLM aber die kannst du vielleicht in den Kommentaren posten.

Ich finde Snap eigentlich ganz cool. Gerade das AirPlay Feature und der Offline-Modus haben es mir sehr angetan. Auf der anderen Seite muss ich sagen, dass die Inhalte sehr schnell ausgebaut werden sollten. Gerade bei den Serien, was mein persönlicher Hauptgrund für VoD ist, steht man sich mit Sky Go selbst im Weg. Es ist zwar klar, dass es zu Sky Go eine inhaltliche Abgrenzung geben muss aber hier sollte man irgendeinen anderen Weg gehen. Ich möchte gerne alle mir zur Verfügung stehen Serien offline ansehen oder per AirPlay aufs Apple TV streamen (was mit Sky Go nicht funktioniert).

Außerdem sollte sich Sky/Snap ganz schnell um die nicht unterstützten Geräten um Android & Co. kümmern. Dazu zählen dann natürlich, nach dem Vorbild von Watchever, auch native Apps für die PlayStation oder dem Apple TV.

Zum Schluss möchte ich noch kurz auf die iOS App von Snap eingehen, die meiner Meinung nach eine ähnliche Katastrophe wie die Sky Go App ist. Die Performance ist selbst auf aktuellen Geräten einfach nur mies und die Navigation sehr schlecht. Man muss allerdings auch sagen, dass die App stabil funktioniert (ich hatte in den bisher fünf Wochen Nutzung keine Abstürze), sofern man sich erst einmal an die Navigation bzw. die Verzögerungen dabei gewöhnt und das Gesuchte gefunden hat. Auch am Stream direkt gibt es nichts auszusetzen. Verbesserungen im Ruhemodus und AirPlay sind dahingegen wieder wünschenswert.

Snap by Sky (AppStore Link) Snap by Sky
Hersteller: Sky Deutschland AG
Freigabe: 17+
Preis: Gratis Download