Permalink

Linux und der Google Authenticator

Ihr kennt bestimmt die Google Authenticator App, welche euch ermöglicht euer Google/Facebbok/Microsoft Konto im Zwei-Faktor Verfahren zu nutzen. Die App generiert einen sechsstelligen Einmalcode, basierend auf Uhrzeit und einem Shared Secret (RFC 6238), welcher zusätzlich zum Benutzernamen und Passwort eingegeben werden muss.

Google Authenticator

Die Jungs von Google stellen auf der Projektseite auch ein PAM (Pluggable Authentication Module) für die Einbindung in ein Linux System zur Verfügung. Mit diesem Modul lassen sich diverse Aktionen (Einloggen, Aufwachen aus dem Bildschirmschoner, SSH Zugriff uvm.) durch dieses Verfahren absichern. Die Einbindung selber ist eigentlich kinderleicht:

Vorbereitung

Zuerst benötigen wir ein Terminal und laden uns ein Zusatzpaket für die Erstellung eines QR-Codes:

Für Debian / Ubuntu

$ apt-get install libqrencode3

Für Arch Linux

$ pacman -Sy qrencode

 

Installation

Danach haben wir zwei Möglichkeiten das Modul zu installieren:

Installieren über die Paketverwaltung unseres Systems

Für Debian / Ubuntu:

$ apt-get install libpam-google-authenticator

Für Arch Linux gibt es ein Paket im AUR:

$ yaourt -S libpam-google-authenticator

Wir installieren das Modul von Hand

Für Debian / Ubuntu brauchen wir folgende Pakete:

$ apt-get install libpam0g-dev make gcc-c++ wget

Für Arch Linux:

$ pacman -S pam

Nun laden wir uns das Quellpaket und entpacken dieses:

$ cd /usr/src/
$ wget https://google-authenticator.googlecode.com/files/libpam-google-authenticator-1.0-source.tar.bz2
$ tar -xvf libpam-google-authenticator-1.0-source.tar.bz2

Wir wechseln in das neue Verzeichnis, kompilieren und installieren das Modul:

$ cd libpam-google-authenticator-1.0
$ make
$ make install

Konfiguration

Als nächstes starten wir das Programm als den Nutzer, der abgesichert werden soll:

$ google-authenticator

Wir werden ein paar Dinge gefragt, die ich bei mir wie folgt beantwortet habe. Aber letztens muss jeder selbst wissen wie er das Ganze konfigurieren möchte.

Do you want authentication tokens to be time-based (y/n) Y

Do you want me to update your "/home/test/.google_authenticator" file (y/n) Y

Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) Y

By default, tokens are good for 30 seconds and in order to compensate for
possible time-skew between the client and the server, we allow an extra
token before and after the current time. If you experience problems with poor
time synchronization, you can increase the window from its default
size of 1:30min to about 4min. Do you want to do so (y/n) N

If the computer that you are logging into isn't hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting (y/n) Y

Zwischendurch bekommen wir eine URL über die man den QR-Code aufrufen kann, sofern qrencode installiert ist auch direkt einen QR Code, den Geheimen Schlüssel im Klartext, einen Verfication Code und sogenannte „Scratch codes“. Diese sind vorgenerierte Einmalcodes die euch im Notfall den Login ermöglichen. Am Besten schreibt ihr diese auf oder druckt sie aus!

Google Authenticator - Terminal

Einrichtung der App

Nun ist ein guter Zeitpunkt die App auf unseren Smartphone einzurichten (Falls noch nicht vorhanden, einfach aus dem App / Play Store installieren).

Google Authenticator
Google Authenticator
Entwickler: Google LLC
Preis: Kostenlos
Google Authenticator
Google Authenticator
Entwickler: Google, Inc.
Preis: Kostenlos

 

Hier beispielhaft an Android gezeigt:

Google Authenticator - App Menü
Zuerst rufen wir die App auf und wählen im Menü den Punkt „Konto Einrichten“:

Google Authenticator - App Settings
Hier haben wir die Möglichkeit unseren Linux Rechner hinzuzufügen. Der einfachste weg ist es den Barcode aus dem Terminal zu scannen.

Google Authenticator - Schlüssel hinzufügen
Alternativ kann man auch mit Hilfe des Secret Key das Konto manuell anlegen.

Aktivierung des Moduls

Als nächstes konfigurieren wir unser System so, dass das neue Modul auch genutzt wird:

1. Beispiel: Cinnamon-Screensaver

$ nano /etc/pam.d/cinnamon-screensaver

Folgende Zeile einfügen damit beim Aufwecken aus dem Bildschirmschoner (z.B. nach dem Standby / Ruhezustand) ein Einmalcode benötigt wird:

auth        required     pam_google_authenticator.so

Zum Test einmal in den Ruhezustand versetzen, wieder aufwecken und über das Ergebnis staunen.

 

Google Authenticator - MDM

2. Beispiel: SSH

Um SSH abzusichern müssen wir zuerst ein paar Änderungen an der ‚/etc/ssh/sshd_config‚ vornehmen:

ChallengeResponseAuthentication yes
UsePAM yes

Danach den SSH Dienst neustarten und die Datei ‚/etc/pam.d/sshd‚ bearbeiten, dass sie die Zeile von oben enthält.

Zusatzinfos

Solltet ihr euer Home-Verzechnis verschlüsselt haben (z.B. wie man es bei der Installation von Ubuntu anwählen kann) und wohl z.B. euren Login-Manager (GDM, MDM, KDM) absichern, muss die Datei ‚.google_authenticator‚ an einem lesbaren Ort liegen. Die Zeile für das Modul könnte dann wie folgt aussehen:

auth            required        pam_google_authenticator.so secret=/home/.ga/${USER}/.google_authenticator

 

Es gibt verschiedene Parameter für die Einbindung eines PAM:
  • required
    Erfolg ist notwendig für Gesamtbewertung: Erfolg, Fehler führt zur Gesamtbewertung: Misserfolg, es werden trotzdem alle weiteren Module von diesem type ausgeführt
  • requisite
    Erfolg ist notwendig für Gesamtbewertung: Erfolg, Fehler führt zur Gesamtbewertung: Misserfolg und termininiert den Authentisierungsprozess
  • sufficient
    Erfolg ist ausreichend für Gesamtbewertung: Erfolg, Fehler beeinflusst Gesamtbewertung nicht, Erfolg terminiert den Authentisierungsprozess, Ergebnis vorheriger required Module wird berücksichtigt
  • optional
    Erfolg oder Fehler hat nur Bedeutung, wenn es der einzige Module für diesen type ist
Für Windows Phone gibt es eine ähnliche App, diese scheint auch mit Google Konten (und damit auch mit dem Modul) zu funktionieren:
Die App konnte im App Store nicht gefunden werden. :-(
Permalink

Ich steig aus …

Irgendwann musste es ja mal passieren. Warum mir das immer passiert? Keine Ahnung!

„Lange“ drei Jahre hat mein 15 Zoll Macbook Pro (Mid 2010) jetzt auf den Buckel und meinte nun einfach nicht mehr mit mir zusammenarbeiten zu müssen. Dabei haben wir uns immer prima verstanden und ich habe es immer gut behandelt. Okay ich hatte schon insgeheim auf das kommende Retina-Super-Akku-Model, welches in den kommenden Wochen eventuell erscheinen wird, geschielt. Benchmarks sind ja schon im Umlauf aber das ist doch noch lange kein Grund, einfach so in den „Ich-ärgere-dich-jetzt-mal-so-richtig-Modus“ zu wechseln.

IMG_20130708_195039

Die ganze Geschichte:
Mein Macbook meinte sich vorgestern einfach mal „hart“ auszuschalten – 15:30 Uhr – im größten Support-Stress. Einschalten ließ es sich dann auch erst einmal nicht mehr bzw. es schaltet sich nun in unregelmäßigen Intervallen einfach wieder aus; sogar im EFI-Modus. Einen OS X-Software-Bug schließe ich deshalb aus. Klasse! So was passiert immer dann, wenn man es überhaupt nicht gebrauchen kann. Okay, ich könnte es wohl nie gebrauchen. Speicher getauscht – ohne Erfolg. Irgendwann am nächsten Tag hatte ich es dann mal geschafft mich in OS X einzuloggen und konnte mir die Fehlerlogs ansehen, die auf die Nvidia-GPU schließen lassen. Super! Das Gerät hat noch zwei Monate Garantie also erst einmal einschicken; das kann dauern… (Dieses mal habe ich den Innenraum gut abgelichtet. Nicht, dass man mir wieder einen Wasserschaden unterstellt. Ihr kennt die Story? (Klick, Klick, Klick))

Nun steht er da, der Mac-User – ohne Mac. Und das wahrscheinlich noch ein paar Wochen. Mir ist innerlich zum Heulen zumute. Aber da muss ich wohl oder übel durch.

IMG_20130710_173318-2

Ich hatte mir netterweise ein abgelegtes Thinkpad X200 vom Kollegen borgen können und muss erst mal damit zurechtkommen. Ubuntu 13.04 drauf und ab geht die Reise ins Linux-Land. Vom Performance- und Schick-Faktor abgesehen fühlte ich mich auch recht schnell zu Hause, da ich den größten Teil in der Z-Shell verbringe und die wichtigsten Cloud-Dienste wie Chrome, Spotify, Feedly und Dropbox auch für Linux verfügbar sind. Ich hätte es mir schlimmer vorgestellt.

Na klar, wenn man dann genauer hinsieht, vermisst man vor allem lieb gewonnene Apps und Workflows. Gnome Do ist nur ein 10%iger-Ersatz für Alfred. MarsEdit konnte ich bisher nicht ersetzen, außer ich blogge direkt im WP-Backend (schrecklich). Für Mail und Outlook (Exchange) muss erst mal Thunderbird herhalten. Einen guten Twitter-Client á la Tweetbot habe ich noch nicht finden können. Pidgin ist ein recht guter Adium-Ersatz und mit Everpad habe ich einen minimalistischen Evernote-Client gefunden. VLC, RubyMine, PyCharm, Vim und Gimp (als Pixelmator-Ersatz) findet man auch unter Ubuntu.

Problematisch ist der Zugriff auf die Mac-verschlüsselten Festplatten bzw. Backups. Da ist kein Rankommen, wenn man sich für diesen Fall keinen Gedanken gemacht hat. Da hätte ich mir vorher Exit-Strategien überlegen müssen bzw. muss mir jetzt einen anderen Mac ausborgen, um auf die Daten zugreifen zu können. Viele Dinge liegen aber in irgendwelchen Cloud-Speichern oder in Git-Repos. Ich werde es überleben.

Mit der Apple-Tastatur am externen Monitor und Docky als Dock-Ersatz (Dash ist eine Krankheit – lahm und unbenutzbar) habe ich sogar ein wenig Mac-Feeling und werde wohl die Zeit der Reparatur überleben.

Ubuntu (Linux) -heute- ist auch kein Vergleich zu meinem Linux-Desktop-„Ausstieg“ vor acht Jahren mehr, als ich mich noch mit Gentoo auf einem Dell Inspiron 8100 herumgequellt hatte. Es funktioniert schon alles ziemlich gut und out-off-the-box. Man muss sich wahrscheinlich auch erst einmal richtig darauf einlassen.

Tschüß Mac-Welt — Ich bin jetzt vorerst Linux-Nutzer ;-)

PS: Nur mal so als Update zum Thema Nexus 4:
Ich hatte mich nach ein paar Wochen so an das Gerät gewöhnt, dass ich nicht mehr zum iPhone zurückwollte. Mir war das iPhone 4S schlichtweg einfach zu klein und, man mag es kaum hören wollen, auch zu eingeschränkt. Android hat sich für mein Empfinden sehr gut und konsequent weiterentwickelt. Selbst die Apps sind mittlerweile auf einen sehr guten Niveau angekommen und lassen mich kaum etwas vermissen. Der einzige Anker für mich in die Apple-Welt ist derzeit mein iPad, welches ich auch ungern eintauschen würde, denn hier habe ich mittlerweile einen riesen Schatz an Apps „gesammelt“, die mir den Tag täglich versüßen.

Permalink

Laptop mit Ubuntu Linux: Rockiger Satchbock

Seit einer Woche habe ich nun das Rockiger Satchbook als Teststellung bei mir und ich habe es mir recht intensiv angesehen. Das Besondere an diesem Laptop: es kommt mit Ubuntu Linux daher. Das weckte natürlich auch mein Interesse. Wird doch seit 10 Jahren das Jahr des Linux-Desktops hervorbeschworen – nein, ich glaube mittlerweile nicht mehr.

IMG 0601

Linux ist heute immer noch eine Randerscheinung auf neuen Laptops, Notebooks oder Desktop PCs. Nicht desto trotz hat sich Linux und mit ihm diverse Oberflächen, Distributionen und Software aller Art um Linux herum immens weiterentwickelt. Ubuntu Linux ist da ein gutes Beispiel für kontinuierliche Weiterentwicklung gerade für diesen angesprochenen Enduser-Desktop-Bereich.

Deshalb freut es mich natürlich, dass jemand den Mut hat, in diese Lücke zu springen und so ein Produkt anzubieten. Rockiger, ein kleines Unternehmen aus Deutschland mit Geschäftsführer Marco Laspe, wollen mit diesem Gerät Leute ansprechen, die mit Linux eine freie Alternative benutzen wollen und perfekt dabei unterstützt werden. Fehlender Treibersupport rund um Linux ist gerade bei Neugeräten immer noch ein Thema, wenn sich dieses Problem auch etwas in den letzten Jahren entschärft hat. Aktuelle Artikel wie zum Beispiel in der ct 20/11 zeigen diesen Missstand erneut auf. Zitat: „Mit lediglich einem fast perfekt und drei halbwegs gut laufenden Laptops scheint das Ergebnis ziemlich ernüchternd.

Rockiger hat sich aus diesem Grund folgendes zum Ziel gesetzt: „Wir geben den Menschen ihre Freiheit zurück. Wir verbinden Ubuntu mit Laptops. Dabei nehmen wir Laptops, die perfekt mit Ubuntu zusammenspielen und kombinieren sie mit Ubuntu. Mit dem Geld, das wir so verdienen fördern wir gezielt wichtige Open-Source-Projekte, damit Ubuntu noch besser wird.

IMG 0592

Zum Gerät: Das Satchbook 15″

Leider kann dieses Gerät meinen persönlichen Anforderungen in keinster Weise gerecht werden. Es ist auf den ersten Blick gar nicht mal so unschick, aber es wirkt auf mich wie ein Gerät aus dem letzten Jahrzehnt. Ein typisches Kunststoff-Laptop, wie man es im Technik-Markt nebenan noch zu Hauf findet. Mir persönlich ist es einfach mit 3,5 cm zu dick. Das Gerät wiegt ca. 2,5 kg (nachgewogen inkl. Akku) und fällt damit gerade so in meine Kategorie „mobiles Notebook“. Wenn man zudem, wie ich, seit einigen Jahren „Metall-Gehäuse“-Notebooks benutzt, wirkt wohl jedes Notebook aus Kunststoff irgendwie billiger verarbeitet.

Das Äußere ist aber nicht der entscheidende Nachteil dieses Gerätes. Das Satchbook besitzt einen 15,6 Zoll LED hintergrundbeleuchteten Bildschirm mit der winzigen Auflösung von 1366 x 768 Bildschirmpunkten. Tut mir leid, aber das geht eigentlich gar nicht. Das Display ist sonst ok, recht hell, matt und gut ausgeleuchtet, die Auflösung aber viel zu gering (ich betone – für meine persönlichen Ansprüche).

Im Inneren werkelt ein Intel Core i5-2410M Prozessor, mit 4 GB Ram ist man geschwindigkeitstechnisch auf dem aktuellen Stand und kann diesen Laptop für alle möglichen Alltagsanwendungen gebrauchen. Die Spieletauglichkeit wird eher durch die im Prozessor integrierte Intel HD Graphics 3000 beschränkt, die aber sonst keine schlechte und stromsparende Grafikkarte ist. Das Satchbook besitzt darüber hinaus eine Webcam, sowie eine 500GB S-ATA Platte. Die Hardwarekomponenten können wahlweise bei der Bestellung aufgerüstet werden. Mit einem Core i7-2620M, 8 GB Ram oder mit einer 256 GB Samsung SSD S-ATA lässt sich die Performance, aber auch der Preis des Gerätes immens steigern. Kostet das Satchbook in der Normalfassung 789 €, muss man für die genannten Teile schon 1639 € hinlegen. Das ist ehrlich gesagt für dieses Gerät, auch wenn das Innere überzeugen kann, in meinen Augen viel zu teuer.

Recherchiert man ein wenig weiter, entdeckt man, dass als Grundlage des Satchbooks ein Notebook der Firma Wortmann dient. Genauer gesagt das Terra Mobile 1562, welches bei anderen Anbietern ca. 50 bis 100 € günstiger angeboten wird. Nun kann man 50 € für ein angepasstes und fertig installiertes Ubuntu durchaus zahlen, wenn man sich den Installationsstress ersparen möchte.

Die Tastatur besitzt einen Nummernblock, schreibt sich ganz okay, drückt nicht durch und hat einen vernünftigen Tastenanschlag. Ungünstig finde ich die Pfeiltasten angeordnet. Gerade die Hoch- und Runter-Tasten lassen sich recht schwer bedienen.

  • Intel Core i5-2410M 2x 2.30 GHz
  • Intel GMA HD 3000 (IGP) shared memory
  • 15.6″ WXGA non-glare LED TFT (1366×768)
  • 4096 MB (2x 2048 MB) RAM
  • 500 GB HDD
  • DVD+/-RW DL Brenner
  • 3x USB 2.0 / Gb LAN / WLAN 802.11abgn / Bluetooth / HDMI / ExpressCard Slot / Card Reader
  • Webcam (1.3 Megapixel)
  • Li-Ionen-Akku (6 Zellen, 5200mAh)

Zur Software: Ubuntu 11.04

Das Satchbook kommt vorinstalliert mit Ubuntu 11.04 und mit einer eigenen Wiederherstellungs-DVD. Das System läuft prima und die Hardware wird wie versprochen unterstützt. Das Einschlafen und das Aufwachen des Rechners funktioniert zuverlässig und schnell. Einziges Manko: Ich konnte das Touchpad nicht zum Scrollen animieren, auch wenn es explizit als Feature auf der Produktseite beworben wird.

Fazit

Das Projekt Satchbook bedient sich der lobenswerten Motivation, ein gutes Ubuntu Linux auf ein aktuelles Notebook anzubieten. Hardwaretechnisch ist es ein solides Alltagsnotebook mit optischen Schwächen und insgesamt dafür in meinen Augen auch einfach zu teuer in der Anschaffung. Ich hatte ein wenig mehr erwartet. Es bleibt zu hoffen, dass Rockiger in seinen nächsten Releasezyklen einen brauchbareren Hardwareunterbau findet. Das Projekt und diesen Ansatz finde ich prima.

Links
http://rockiger.com/de/shop/product/satchbook
http://www.tuxhardware.de/product_info.php?info=p266_Notebook-Terra-Mobile-1562.html