Aumentar la Seguridad en SSH: autenticación en 2 pasos

Seguridad SSH
Seguridad SSH
En el Artículo anterior les hablaba de #Seguridad – Desactivando el acceso #root en un #servidor #Linux Seguridad SSH, ahora comparto con ustedes La autenticación en 2 pasos del SSH es un método de identificación que debería utilizar todo el mundo. Es bastante seguro y fácil de usar. En este caso vamos a implementarlo en un servidor para cuando accedamos por SSH. El objetivo es mejorar la seguridad de nuestro sistema y hacer al atacante más complicada la tarea de romper el acceso. Para ello, utilizaré Google Authenticator, una herramienta open source que nos ayudará a cumplir nuestro objetivo. El funcionamiento es el siguiente: al entrar por SSH nos pedirá una clave que podremos comprobar desde nuestro teléfono y que cambia cada 30 segundos.

Vamos a entrar a nuestro servidor por SSH de la misma forma de siempre. A ser posible, con el usuario en el que implementaremos la autenticación en dos pasos. Yo he hecho el tutorial en máquina virtual, pero al fin y al cabo es un sistema Linux cualquiera. Una vez dentro, introducimos el siguiente comando:
sudo apt-get install libpam-google-authenticator
A continuación, con el usuario en el que queremos la autenticación en dos pasos, ejecutamos:
google-authenticator
Esto nos dará las claves necesarias para nuestra cuenta. Las introduciremos en nuestro móvil con Android, iOS o ¿BlackBerry? ¿Sigue existiendo?
Your new secret key is: 5CZRDTXJETGVAFHJ
Your verification code is 834011
Your emergency scratch codes are:
26130193
11999201
23810415
96187470
11909397
Ojo, guardad estas claves porque las de emergencia sirven en caso de pérdida o robo del teléfono. Cada clave de emergencia es de uso único, es decir, cada vez que utilicemos una se borrará de la lista de claves.

Tras esto, encontraremos en nuestro teléfono una clave que cambiará cada 30 segundos. Esta es la clave que tendremos que introducir cada vez que queramos entrar por SSH a nuestro servidor. Como cambia cada tan poco tiempo, si alguien nos la roba (por ejemplo viéndola en nuestro teléfono) tendrá 30 segundos para entrar y luego cambiará.

A pesar de tener el teléfono configurado para comenzar a usar este método de acceso, el servidor todavía no lo está. Para ello, tendremos que editar manualmente un par de archivos:

>Archivo /etc/pam.d/sshd:
Añadimos auth required pam_google_authenticator.so al comienzo del archivo.

Archivo> /etc/ssh/sshd_config:

Cambiamos ChallengeResponseAuthentication no por ChallengeResponseAuthentication yes . En caso de que no exista este parámetro en el archivo, lo creamos nosotros.

Finalmente, reiniciamos el servicio SSH para aplicar los cambios con el siguiente comando:
sudo service ssh restart

Para probar si funciona, vamos a cerrar la sesión y volver a entrar con el usuario al que hemos aplicado la autenticación en dos pasos. Si todo va bien, nos pedirá el código de verificación que aparece en nuestro teléfono
(Tomado de geekytheory.com)

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*