2-Faktor-Authentifizierung (2-Schritt-Verifizierung) mit Google Compute Engine

Question

Gibt es eine Möglichkeit, die 2-Faktor-Authentifizierung (oder 2-Schritt-Verifizierung a-la Google-Terminologie) für die Google Compute Engine zu aktivieren? Ich bin daran interessiert, meine VMs, Cloud-Speicher und die Entwicklerkonsole zu schützen.

Ich habe versucht, den Google Authenticator (libapm) zu diesem Artikel Securing SSH with two factor authentication using Google Authenticator auf einer VM zu verwenden, aber es war nicht erfolgreich (ich konnte mit der gcloud compute Shell ohne zusätzlichen Code anmelden).

[12. Januar] Einige Updates: Google-Entwicklerkonsole funktioniert einwandfrei. Vielen Dank.

Für 2-Schritt-Verifikation mit dem Computer-Engine-SSH-Zugriff habe ich alles noch einmal wiederholt. Befolgte die Anweisungen in den angegebenen Links und tat folgendes:

• Ich habe ein neues Google-Cloud-Projekt erstellt.
• Ich verwendete 2 verschiedene OS-Instanzen - Debian 8.2 und Ubuntu 15.10.

Alle diese Tests fehlgeschlagen - es gab keine Aufforderung für einen Bestätigungscode. Ich habe mich in der Google Compute-Engine-Dokumentation umgeschaut und sie erwähnen explizit, dass sie nur die Zertifikatsauthentifizierung unterstützen (anstatt Benutzername/Passwort), sodass ich nicht überprüfen kann, ob dies die Hauptursache ist.

Gibt es jemanden, der die Bestätigung in zwei Schritten mit der Google Compute-Engine verwendet?

Dank

Answer 1

Endlich - eine Lösung (Dank für die Unterstützung Google Cloud).

Ein paar Updates auf dem Dokument, das ich genannt habe: Kommentar aus

Neben einer Linie /etc/pam.d/sshd Hinzufügen sollte man auch die @include Common- auth Zeile. So sollte es so etwas wie sein:

auth  required  pam_google_authenticator.so # from the original instructions 
# @include common-auth # commenting out is new... 

Neben der Änderung der ChallengeResponseAuthentication Eigenschaft in /etc/ssh/sshd_config, sollte man auch AuthenticationMethods publickey, keyboard-interactive in der folgenden Zeile hinzufügen:

ChallengeResponseAuthentication yes # from the original instructions 
AuthenticationMethods publickey,keyboard-interactive # this is new... 

natürlich ist dies auf den regulären Anweisungen zur Installation libpam-google-Authentifikator, die Änderung der sshd und sshd_config (wie oben erwähnt), einen Neustart des ssh/sshd servi ce und richten Sie den Google-Authenticator für das Konto ein.

Schließlich noch ein paar Punkte:

1. dies sorgfältig prüfen - aus dem Neustart den ssh/sshd Kontos, kann niemand ohne richtigen 2FA anmelden. Stellen Sie also sicher, dass jeder, der ssh Zugriff haben sollte, richtig konfiguriert ist.
2. Ich überlege, ob dies die richtige Lösung für uns ist, da die VMs (jede VM getrennt) eingerichtet werden müssen und der Authenticator manuell für jedes Konto und jede VM manuell eingerichtet werden muss. Nicht sicher, wie skalierbar diese Alternative ist. Ich würde mich freuen, Ihre Gedanken ...
3. Last but not least - die Einrichtung von libpam-google-authenticator kann vereinfacht werden mit apt-get, keine Notwendigkeit, alle Abhängigkeiten manuell zu installieren und zu bauen. Arbeitete für mich durch Ausführen von:

   sudo apt-get install libpam-google-Authentifikator

Good Luck!