Jack Wallen le muestra cómo configurar tanto la autenticación de dos factores como la autenticación de clave SSH para un inicio de sesión remoto sólido como una roca de sus servidores Linux.
Cómo configurar la autenticación de clave SSH y la autenticación de dos factores en Linux para el inicio de sesión remotoEste tutorial explica cómo configurar tanto la autenticación de dos factores como la autenticación de clave SSH para un inicio de sesión remoto sólido como una roca de sus servidores Linux.
Lo más probable es que administre sus máquinas Linux a través de SSH. Si lo hace, probablemente ya debería haber configurado la autenticación de dos factores para ayudar a bloquear ese inicio de sesión. Pero, ¿qué pasa si desea dar ese gran paso adelante al habilitar la autenticación de clave SSH? El doble golpe de la autenticación de dos factores y la autenticación de claves realmente hace que su servidor Linux sea una fortaleza desafiante en la que penetrar.
He cubierto tanto la configuración de autenticación de dos factores en CentOS 7 y Linux, como la autenticación de clave SSH en Linux. En realidad es una tarea bastante fácil de llevar a cabo.
Sin embargo, hay un pequeño problema. No puede simplemente configurar la autenticación de dos factores como de costumbre. Al utilizar la autenticación de dos factores junto con la autenticación de clave SSH, debe tomar medidas adicionales para garantizar que funcione como se espera. No es más difícil que configurar ambos sistemas, sólo tienes que hacer algunos cambios de configuración.
Lo que necesitas
Primero debe tener acceso físico al servidor Linux que va a configurar. Lo último que quieres es trabajar en esto remotamente, sólo para descubrir que te has quedado fuera de tu máquina. A continuación, debe asegurarse de que funciona tanto la autenticación de dos factores como la autenticación de clave SSH. Hágalos de uno en uno. En primer lugar, configure la autenticación de dos factores. Una vez que esto funcione, comente las nuevas líneas tanto en /etc/ssh/sshd_config como en /etc/pam.d/sshd y reinicie sshd. Una vez que haya desactivado la autenticación de dos factores, configure la autenticación de clave SSH. Después de que pueda iniciar sesión en su servidor, utilizando la autenticación de clave, reconfiguraremos la autenticación de dos factores para permitir que funcione con la autenticación de clave.
La configuración
Lo primero que hay que hacer es abrir /etc/pam.d/sshd. Has comentado (añadido un # al principio de la línea):
auth requerido pam_google_authenticator.so
Deja eso comentado. En la parte superior de ese archivo (Bajo #%PAM-1.0) agregue lo siguiente:
auth suficiente pam_google_authenticator.so
Guarde y cierre ese archivo.
A continuación, abra /etc/ssh/sshd_config. En ese archivo, deberá configurar las siguientes líneas:
ChallengeResponseAuthentication síUsePAM síAutenticaciónMétodos clave pública, teclado interactivoContraseñaAutenticación no
Si ve alguna de las líneas anteriores comentadas, elimine el símbolo # para descomentarlas. Si no ve ninguna de las líneas anteriores, asegúrese de añadirlas. Si ve esas líneas configuradas de forma diferente, edítelas para que reflejen lo anterior. Una vez que haya realizado esas modificaciones, guarde y cierre el archivo. Reinicie sshd con el comando:
sudo systemctl reiniciar sshd
Ahora debería poder iniciar sesión en el servidor con la combinación de autenticación de dos factores y autenticación de clave SSH. Si no es así, reinicie el servidor. He sido testigo de algunos casos en los que reiniciar el demonio SSH no fue suficiente.
Sólida seguridad SSH
Le resultará difícil encontrar un medio más seguro de iniciar sesión en sus servidores Linux que con el doble golpe de la autenticación de dos factores y la autenticación de clave SSH. Configúrelos en un servidor de prueba, asegúrese de que funcione y, una vez que lo tenga dominado, hágalo en todos sus servidores Linux. Esta es una seguridad SSH absolutamente sólida como una roca.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad.
Entregado los martes y jueves
mismo