Cómo configurar la autenticación de dos factores (Autenticador de Google) para inicios de sesión SSH

Cómo configurar la autenticación de dos factores (Autenticador de Google) para inicios de sesión SSH

De forma predeterminada, SSH. ya utiliza una comunicación de datos segura entre máquinas remotas, pero si desea agregar una capa de seguridad adicional a sus conexiones SSH, puede agregar un Autenticador de Google ( autenticación de dos factores. que le permite ingresar un código de verificación de contraseña aleatoria de un solo uso ( TOTP. mientras se conecta a SSH. servidores. Deberá ingresar el código de verificación de su teléfono inteligente. o PC. cuando se conecte.

El Autenticador de Google. es un módulo de código abierto que incluye implementaciones de códigos de acceso de un solo uso ( TOTP. , token de verificación desarrollado por Google. Es compatible con varias plataformas móviles, así como con PAM (Módulo de autenticación conectable). Estos códigos de acceso de un solo uso se generan utilizando estándares abiertos creados por la Iniciativa de autenticación abierta. OATH. .

 Autenticación de dos factores SSH  SSH Autenticación de dos factores Autenticación de dos factores SSH

En este artículo, le mostraré cómo instalar y configurar SSH. para la autenticación de dos factores en Red Hat. CentOS. Fedora. y Ubuntu. Linux Mint. y Debian.

Instalación del módulo Autenticador de Google

Abra la máquina en la que desea configurar la autenticación de dos factores e instale las siguientes bibliotecas PAM. junto con las bibliotecas de desarrollo necesarias para que el módulo PAM. funcione correctamente con el módulo Autenticador de Google.

En Red Hat. CentOS. y Fedora. instalan el paquete ‘ pam-devel. .

# yum install pam-devel make automake libtool gcc-c ++ wget freestar.config.enabled_slots.push

En Ubuntu. Los sistemas Linux Mint. y Debian. instalan el paquete ‘ libpam0g-dev. .

# apt-get install libpam0g-dev make automake libtool gcc-c ++ wget

Ahora clone e instale el módulo Autenticador de Google. en el directorio Inicio. (suponga que ya ha iniciado sesión en el directorio de inicio de raíz. usando el siguiente comando git.

# git clone https://github.com/google/google-authenticator-libpam.git # cd google-authenticator-libpam/# ./bootstrap.sh # ./configure # make # make install # google-authenticator

Una vez que ejecute ‘ google-a uthenticator. ‘, le hará una pregunta seria. Simplemente escriba “ y. (. como respuesta en la mayoría de situaciones. Si algo sale mal, puede volver a escribir el comando “ google-authenticator. para restablecer la configuración.

  1. ¿Desea que los tokens de autenticación se basen en el tiempo (y/n) y

Después de esta pregunta, obtendrá su ‘ clave secreta. y ‘ códigos de emergencia. ‘. Escriba estos detalles en algún lugar, necesitaremos la “clave secreta. más adelante para configurar la aplicación Autenticador de Google.

[[email protected] google-authenticator-libpam] # google-authenticator ¿Desea que los tokens de autenticación se basen en el tiempo (y/n) y. https://www.google. com/chart? chs = 200×200 & chld = M | 0 & cht = qr & chl = otpauth://totp/[email protected]% 3Fsecret% 3DXEKITDTYCBA2TLPL Tu nueva clave secreta. es: XEKITDTYCBA2TLPL. Tu El código de verificación. es 461618. Tus códigos de emergencia. son: 65083399 10733609 47588351 71111643 92017550.

A continuación, sigue el asistente de configuración y, en la mayoría de los casos, escribe responde como “ y. (. como se muestra a continuación.

¿Quieres que actualice tu archivo “/root/.google_authenticator” (y/n) y. ¿Desea no permitir varios usos del mismo token de autenticación? Esto te restringe a un inicio de sesión cada 30 segundos, pero aumenta tus posibilidades de notar o incluso prevenir ataques de intermediario (s/n) s. De forma predeterminada, los tokens son válidos durante 30 segundos y para compensar la posible desviación de tiempo entre el cliente y el servidor, permitimos un token adicional antes y después de la hora actual. Si tiene problemas con una sincronización de tiempo deficiente, puede aumentar la ventana de su tamaño predeterminado de 1: 30min a aproximadamente 4min. ¿Quiere hacerlo? (S/n) s. Si la computadora en la que está iniciando sesión no está protegida contra intentos de inicio de sesión por fuerza bruta, puede habilitar la limitación de velocidad para el módulo de autenticación. De forma predeterminada, esto limita a los atacantes a no más de 3 intentos de inicio de sesión cada 30 segundos. ¿Desea habilitar la limitación de velocidad (y/n) y.

Configuración de SSH para usar el módulo Autenticador de Google

Abra el archivo de configuración PAM. ‘/etc/pam.d/sshd. y agregue la siguiente línea en la parte superior del archivo.

auth requiere pam_google_authenticator.so

A continuación, abra SSH. archivo de configuración ‘/etc/ssh/sshd_config. y desplácese hacia abajo para encontrar la línea que dice.

ChallengeResponseAuthentication no

Cámbielo a “ yes. “. Entonces, se vuelve así.

ChallengeResponseAuthentication yes

Finalmente, reinicie el servicio SSH. para realizar nuevos cambios.

#/etc/init.d/sshd restart

Configuración de la aplicación Google Authenticator

Inicie la aplicación Google Authenticator. en su teléfono inteligente. Pulsa Menú. y elige “ Configurar una cuenta. . Si no tiene esta aplicación, puede descargar e instalar la aplicación Google Authenticator en sus dispositivos Android/iPhone/Blackberry.

 Cuenta de configuración del autenticador de Google Cuenta de configuración del Autenticador de Google Cuenta de configuración del Autenticador de Google

Presione“ Ingrese la clave proporcionada. ”.

 Secreto del autenticador de Google Clave  Clave secreta del autenticador de Google Ingrese la clave secreta de Google Authenticator

Agregue su cuenta ‘ Nombre. ‘e ingrese la’ clave secreta. ‘generada anteriormente.

 Nombre de cuenta del autenticador de Google  Nombre de cuenta de Google Authenticator Nombre de cuenta y clave secreta del Autenticador de Google

Generará una contraseña única ( código de verificación. que cambiará constantemente cada 30 segundos. en su teléfono.

 Google Authenticator One Time Password Contraseña de un solo uso del Autenticador de Google Contraseña de un solo uso del Autenticador de Google

Ahora intente iniciar sesión a través de SSH. se le solicitará el código de autenticación de Google. ( código de verificación. y la contraseña. cada vez que intente iniciar sesión a través de SSH. Solo tiene 30 segundos. para ingresar este código de verificación; si lo pierde, se generará un nuevo código de verificación.

inicie sesión como: tecmint Acceso denegado Usando autenticación interactiva de teclado. Código de verificación. mediante la autenticación interactiva con el teclado. Contraseña: Último inicio de sesión: martes 23 de abril 13:58:29 2013 de 172.16.25.125 [[email protected] ~] #

Si no tiene un teléfono inteligente, también puede usar un Firefox. complemento llamado GAuth Authenticator para realizar la autenticación de dos factores.

Importante. la autenticación de dos factores funciona con el inicio de sesión SSH basado en contraseña. Si está utilizando una sesión SSH de clave privada/pública, ignorará la autenticación de dos factores y lo iniciará directamente.