La autenticación de dos factores debe considerarse un uso obligatorio. Jack Wallen lo guía a través del nuevo método de agregar esta capa de seguridad a sus escritorios y servidores Linux.

    Cómo configurar la autenticación de dos factores en un servidor UbuntuLa autenticación de dos factores debe considerarse un uso obligatorio. Jack Wallen lo guía a través del nuevo método de agregar esta capa de seguridad a sus escritorios y servidores Linux.

    Si usted es un administrador de Linux y desea bloquear sus servidores y escritorios Linux de la forma más estricta posible, debe hacer uso de la autenticación de dos factores. Esto debe ser considerado como algo «obvio». Por qué? Porque al añadir la autenticación de dos factores, se hace exponencialmente más difícil para los usuarios maliciosos acceder a sus equipos. Con Linux, es posible configurar una máquina para que no pueda iniciar sesión en la consola o en el escritorio o por medio de un shell seguro, sin tener el código de autenticación de dos factores asociado con esa máquina.

    Voy a guiarte a través del proceso de configuración en Ubuntu Server 16.04. Si ha intentado este proceso antes, sepa que los pasos han cambiado y que el método previamente detallado ya no funciona.

    Antes de comenzar

    Hay una cosa que debe saber sobre la adición de la autenticación de dos factores: Una vez configurado, sin los códigos generados por terceros, no podrá acceder a su máquina. Cada vez que desee iniciar sesión, necesitará su smartphone o los códigos de emergencia (generados tras la instalación de las herramientas necesarias.

    Lo que necesitarás

    Obviamente, necesitará un servidor o escritorio Linux. Asegúrese de que esté completamente actualizado y de que sus datos estén respaldados (porque nunca se sabe. También necesitará una aplicación de terceros (como Authy o Google Authenticator) para generar sus códigos de dos factores. Personalmente, uso Authy para esta tarea. No pasaré por el proceso de instalación de la aplicación Authy o Google Authenticator (ya que esto se explica por sí mismo.

    Dicho esto, preparemos esto.

    Instalación

    Inicie sesión en su máquina Linux y siga estos pasos:

    1. Abrir una ventana de terminal
    2. Emita el comando sudo apt install libpam-google-authenticator
    3. Escriba su contraseña de sudo y presione Enter
    4. Si se le solicita, escriba y y presione Enter
    5. Permita que la instalación se complete

    Ahora es el momento de configurar la máquina para la autenticación de dos factores.

    Configuración

    De vuelta en la ventana de su terminal, emita el comando sudo nano /etc/pam.d/common-auth. Añada la siguiente línea al final del archivo:

    auth requerido pam_google_authenticator.so nullok

    Guarde y cierre ese archivo.

    Ahora debemos configurar el Autenticador de Google para cada usuario que necesite iniciar sesión en la máquina. Voy a hacer una demostración con un solo usuario. Vuelva a la ventana del terminal y, como usuario en cuestión, emita el comando google-autenticator. Se le pedirá que responda a una serie de preguntas. La primera pregunta es: ¿Desea que los tokens de autenticación se basen en el tiempo (s/n)? y. Conteste con una s y se le presentará un código QR (. Abra su aplicación de dos factores en su smartphone, agregue una nueva cuenta y escanee ese código.

    Una vez que haya agregado el código, conteste las preguntas restantes, que son:

    • ¿Quieres que actualice tu archivo «/home/jlwallen/.google_authenticator» (s/n)? y
    • ¿Desea desactivar varios usos del mismo token de autenticación? Esto le restringe a una entrada cada 30 segundos, pero aumenta sus posibilidades de notar o incluso prevenir ataques de hombre en el medio (sí/no.
    • Por defecto, los tokens son válidos durante 30 segundos, y para compensar la posible distorsión temporal entre el cliente y el servidor, permitimos un token adicional antes y después de la hora actual. Si tiene problemas con una mala sincronización horaria, puede aumentar la ventana de su tamaño predeterminado de 1:30min a unos 4min. Desea hacerlo (sí/no)
    • Si el equipo en el que está iniciando sesión no está protegido contra los intentos de inicio de sesión por fuerza bruta, puede habilitar la limitación de velocidad para el módulo de autenticación. De forma predeterminada, esto limita los atacantes a no más de 3 intentos de inicio de sesión cada 30 segundos. ¿Desea activar la limitación de la velocidad (sí/no)?

    Conteste cada pregunta escribiendo y y pulsando enter.

    Configurar SSH

    A continuación debemos configurar ssh para permitir la autenticación de dos factores. De lo contrario, no podrá iniciar sesión a través de ssh. Esto es lo que harás:

    Primero, habilite el módulo PAM. Para ello, ejecute el comando sudo nano /etc/pam.d/sshd. Con el archivo abierto, agregue la siguiente línea en la parte inferior del archivo:

    auth requerido pam_google_authenticator.so nullok

    Guarde ese archivo y luego emita el comando sudo nano /etc/ssh/sshd_config. En este archivo, busque:

    ChallengeResponseAutenticación no

    y cambiarlo por uno nuevo:

    ChallengeResponseAutenticación sí

    Guarde ese archivo y reinicie sshd con el comando sudo systemctl restart sshd.

    Iniciar sesión

    Antes de salir de su servidor desde la ventana de la terminal en funcionamiento, le sugiero encarecidamente que abra una nueva ventana e intente asegurar el shell en la máquina. Si no puede iniciar sesión, vuelva a repasar los pasos y asegúrese de que no se le ha pasado nada por alto. Una vez que haya iniciado sesión correctamente, es seguro cerrar la sesión actual y volver a iniciar sesión.

    Bienvenido a un nuevo nivel de seguridad

    Eso es todo lo que se necesita para añadir una capa muy necesaria de seguridad adicional a sus máquinas Linux. Recuerde, sin esa aplicación de autenticación de dos factores de terceros, no podrá iniciar sesión en su máquina recién configurada, así que mantenga ese teléfono a mano en todo momento.

    Boletín informativo de consejotecnologico.com

    Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves

    mismo

    Vea también