Si tiene habilitado ssh en sus servidores Linux, debería considerar la autenticación de dos pasos como un requisito. Jack Wallen te muestra cómo preparar esto.

    El hecho de que usted confíe en Linux como su plataforma de servidor, no significa que sea a prueba de fallos. Todavía hay pasos que puede seguir para asegurarse de que sus datos estén a salvo de miradas indiscretas. Una cosa que debe hacer es habilitar la autenticación de dos pasos para el shell seguro. Esto significa que cualquiera que intente entrar en su servidor a través de ssh tendrá que tener una contraseña y un código de verificación. Esto es bastante fácil, gracias al Autenticador de Google. Déjame guiarte por los pasos para preparar esto.

    Demostraré esto en un servidor basado en Ubuntu. Si está usando otra distribución, necesitará modificar un poco los pasos para que esto tenga éxito.

    Instalación de google-authenticator

    Utilizará el programa Android Google Authenticator para proporcionarle los códigos necesarios para iniciar sesión en su equipo. Para que esto funcione, tienes que instalar el google-authenticator en tu servidor para que pueda interactuar con el shell seguro. Aquí está el cómo:

    1. Inicie sesión en su servidor
    2. Abrir una ventana de terminal
    3. Instale las dependencias necesarias con el comando sudo apt-get install libpam0g-dev
    4. Instale las herramientas para descargar y compilar el software con el comando sudo apt-get install make gcc wget
    5. Descargue la fuente del google-authenticator con el comando wget http://google-authenticator.googlecode.com/files/l…
    6. Extraer el archivo descargado con el comando tar xvfj libpam-google-authenticator-1.0-source.tar.bz2
    7. Cambie al directorio recién creado con el comando cd libpam-google-authenticator-1.0
    8. Compila el código con el comando make
    9. Instale la herramienta con el comando sudo make install

    Ejecución de google-autenticator

    Desde la misma ventana del terminal, emita el comando google-autenticator y recorra el asistente. Esto le hará las siguientes preguntas (responda «y» a todas las preguntas):

    • ¿Desea que los tokens de autenticación estén basados en el tiempo (sí/no)? sí/no
    • ¿Quieres que actualice tu archivo «/root/.google_authenticator» (sí/no)? sí/no
    • ¿Desea desactivar varios usos de la misma autenticación? Esto te restringe a un login cada 30 segundos, pero aumenta tus posibilidades de notar o incluso prevenir ataques de hombre en el medio (sí/no) sí/no.
    • Por defecto, los tokens son válidos durante 30 segundos y para compensar la posible distorsión temporal entre el cliente y el servidor, permitimos un extratoken antes y después de la hora actual. Si experimenta problemas con la sincronización de tiempo pobre, puede aumentar la ventana de su tamaño predeterminado de 1:30min a aproximadamente 4min. ¿Desea hacerlo (sí/no) sí/no?
    • Si el equipo en el que está iniciando sesión no está protegido contra intentos de forcelogin bruto, puede habilitar la limitación de velocidad para el módulo de autenticación, que limita los ataques a no más de 3 intentos de inicio de sesión cada 30 segundos.

    Después de responder a la primera pregunta, la herramienta hará eco de su clave secreta y sus códigos de emergencia. Necesita guardarlos en otro archivo para referencia. Muy importante.

    Configurar SSH para utilizar Google Authenticator y el módulo PAM

    Ahora tiene que configurar SSH para usar las nuevas herramientas. Primero, activemos el módulo PAM. Para ello, ejecute el comando sudo nano /etc/pam.d/sshd. Con el archivo abierto, añada la siguiente línea en Leer variables de entorno de /etc/environment y:

    auth requerido pam_google_authenticator.so

    Guarde ese archivo y luego abra el archivo /etc/ssh/sshd_config. En este archivo, busque:

    ChallengeResponseAutenticación no

    y cambiarlo por uno nuevo:

    ChallengeResponseAutenticación sí

    Guarde ese archivo y reinicie sshd con el comando sudo service sshd restart.

    Configuración de la aplicación Google Authenticator

    Ahora es el momento de configurar la aplicación en su dispositivo Android. Instale el Autenticador de Google y ábralo. En la pantalla principal, toque el menú Configuración (tres puntos verticales en la esquina superior derecha) y toque Configurar cuenta. En la nueva ventana, toque Introducir clave proporcionada. Por último, vuelva a la información que le presentó el google-autenticador y obtenga su clave secreta. Esa clave secreta es la que usas para configurar la cuenta. En la pantalla de entrada de cuenta manual (), asigne un nombre a la entrada, introduzca su clave secreta, seleccione Tiempo en función del menú desplegable y pulse Añadir.

    Configuración de la nueva cuenta en un Nexus 6

    .Logging

    in de marca Verizon

    Es hora de iniciar sesión. Vaya a otra máquina Linux y, usando el comando ssh, inicie sesión en el servidor. Primero se le pedirá su contraseña de usuario. Una vez que la contraseña se autentica, se le pedirá el código de verificación. Para obtener el código de verificación, abra la aplicación Google Authenticator en su dispositivo Android e introduzca el código urgente que aparece en la pantalla para el servidor recién añadido. Una vez que haya ingresado un código legítimo, se le dará acceso al servidor. Si no tienes ese código generado por el Autenticador de Google, no podrás entrar. Punto.

    Si está buscando una buena manera de proteger sus equipos Linux de inicios de sesión ssh no deseados, no puede superar la autenticación de dos pasos.

    ¿Cómo se endurece ssh en las máquinas Linux?

    Véase también

    Boletín Semanal de Código Abierto

    No se pierda nuestros consejos, tutoriales y comentarios sobre el sistema operativo Linux y las aplicaciones de código abierto. Entregado los martes

    mismo