Una vez que tenga CentOS 7 en funcionamiento, querrá bloquear ese servidor con autenticación de dos factores. Cada administrador debería considerar la posibilidad de habilitar esta capa adicional de seguridad.
Cómo configurar la autenticación de dos factores en CentOSEvery, el administrador debe considerar la posibilidad de habilitar la autenticación de dos factores en su servidor CentOS 7 para obtener una capa de seguridad adicional.
Ha decidido utilizar CentOS 7 en su centro de datos o incluso en sus instalaciones. Con él en marcha y funcionando sin problemas, usted por supuesto quiere asegurarse de que está bien cerrado. Lo último que necesita es que ese servidor sufra intrusión o pérdida de datos. Una cosa que puede hacer para disminuir dramáticamente la probabilidad de que su servidor CentOS sea pirateado es configurar la autenticación de dos factores (2FA.
Ya he cubierto cómo se hace esto en Ubuntu, pero el proceso de instalación para CentOS es ligeramente diferente. Pongamos esto en marcha.
Lo que necesitarás: Obviamente, necesitará CentOS 7 en funcionamiento. También necesitará una cuenta de usuario con derechos sudo capaz de iniciar sesión en el servidor a través de ssh. También necesitarás una aplicación de autenticación (como Authy o el Autenticador de Google. Y eso es todo lo que necesitas.
Instalación
Aquí es donde el proceso varía ligeramente de Ubuntu. Con CentOS 7, primero debe instalar un repositorio antes de poder instalar la herramienta necesaria. El repositorio en cuestión es epel y puede ser instalado con el siguiente comando:
sudo yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
Una vez instalado el repositorio, puede instalar el google-authenticator con el comando:
sudo yum instalar google-authenticator
Una vez instalado el software, estará listo para continuar.
Uso del Autenticador de Google
El comando google-authenticator debe ser ejecutado por cualquier usuario que vaya a iniciar sesión, a través de ssh. Como usuario estándar, emita el comando:
Autentificador de Google
Primero se le preguntará: ¿Desea que los tokens de autenticación se basen en el tiempo (sí/no)? sí. Responda afirmativamente y se le presentará un código QR. Escanea ese código con la aplicación Authy o Google Authenticator, para que puedas añadir esa cuenta a tu aplicación de autenticación de dos factores en tu dispositivo móvil. También querrá copiar y guardar los códigos de emergencia que se le presentan.
Con eso fuera del camino, responda con el valor predeterminado a las siguientes preguntas:
- ¿Quieres que actualice tu archivo «~/.google_authenticator»? (s/n) s
- ¿Desea desactivar varios usos del mismo token de autenticación? Esto le restringe a una entrada cada 30 segundos, pero aumenta sus posibilidades de notar o incluso prevenir ataques de hombre en el medio (sí/no) sí/no
- De forma predeterminada, los tokens son válidos durante 30 segundos. Con el fin de compensar la posible distorsión temporal entre el cliente y el servidor, permitimos un token adicional antes y después de la hora actual. Si tiene problemas con una mala sincronización horaria, puede aumentar la ventana de su tamaño predeterminado de +-1min (tamaño de ventana de 3) a aproximadamente +-4min (tamaño de ventana de 17 fichas aceptables. ¿Quieres hacerlo? (s/n) n
- Si el equipo en el que está iniciando sesión no está protegido contra los intentos de inicio de sesión por fuerza bruta, puede habilitar la limitación de velocidad para el módulo de autenticación. De forma predeterminada, esto limita los atacantes a no más de 3 intentos de inicio de sesión cada 30 segundos. ¿Desea activar la limitación de la velocidad (s/n)? s
Una vez más, cada usuario que necesite iniciar sesión en el servidor CentOS, a través de SSH, debe hacer lo anterior.
Configuración de SSH
Hay dos archivos que debe editar. Abra el primero con el comando sudo nano /etc/pam.d/sshd. En la parte inferior de este archivo, agregue lo siguiente:
auth requerido pam_google_authenticator.so
Hay una opción para agregar nullok al final de esa línea. Esta es una opción si tiene usuarios que aún no han ejecutado el comando google-authenticator y necesitan acceder al servidor a través de ssh. Prefiero no usar esa opción y asegurarme de que todos hayan ejecutado el comando antes de configurar SSH para que requiera 2FA.
Guarde y cierre ese archivo.
El siguiente archivo se abre para su edición con el comando sudo nano /etc/ssh/sshd_config. Busca la línea:
ChallengeResponseAutenticación no
Cambie la línea anterior a:
ChallengeResponseAutenticación sí
Guarde y cierre ese archivo.
Reinicie sshd con el comando sudo systemctl reiniciar sshd. En este punto, cualquier persona que intente acceder al servidor CentOS, a través de SSH, tendrá que incluir un código de verificación de la aplicación Authy o Google Authenticator. Sin un código, no pueden iniciar sesión. Punto. Si encuentra que 2FA no funciona, es posible que tenga que reiniciar el servidor. Asegúrese de tener acceso físico al servidor en caso de que algo salga mal para que pueda iniciar sesión localmente y solucionar el problema.
Un deber hacer
Cada administrador de CentOS (o Linux) debe considerar esto como una obligación para los servidores. Aunque SSH es un protocolo muy seguro, bloquearlo aún más puede ser muy útil para garantizar la seguridad de sus servidores y de sus datos.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves
mismo