Cargo actual:Index > Cómo proteger SSH con autenticación de dos factores de Google Authenticator

Cómo proteger SSH con autenticación de dos factores de Google Authenticator

Actualizado:10-02Fuente: consolidación de la red
Advertisement

Cómo proteger SSH con autenticación de dos factores de Google Authenticator


Quiere asegurar su servidor SSH con autenticación de dos factores y fácil de usar? Google proporciona el software necesario para integrar contraseña del sistema de Google Authenticator basada en el tiempo de una sola vez (TOTP) con el servidor SSH. Vas a tener que introducir el código de su teléfono cuando se conecta.

Google Authenticator no "llamar a casa" de Google - todo el trabajo que ocurre en su servidor SSH y su teléfono. De hecho, Google Authenticator es completamente de código abierto , por lo que incluso puede examinar su código fuente a ti mismo.

Instalar Google Authenticator

Para implementar la autenticación de múltiples factores con Google Authenticator, necesitaremos el módulo de código abierto Google Authenticator PAM. PAM es sinónimo de "módulo de autenticación conectable" - es una manera de conectar fácilmente diferentes formas de autenticación en un sistema Linux.

Repositorios de software de Ubuntu contienen un paquete fácil de instalar para el módulo Google Authenticator PAM. Si su distribución de Linux no contiene un paquete para esto, vas a tener que descargarlo de la página de descargas de Google Authenticator en Google Code y compilarlo usted mismo.

Para instalar el paquete en Ubuntu, ejecute el siguiente comando:

sudo apt-get install libpam-google-autenticador

(Esto sólo se instalará el módulo PAM en nuestro sistema - tendremos que activarlo para las conexiones SSH de forma manual.)

Cómo proteger SSH con autenticación de dos factores de Google Authenticator


Crear una clave de autenticación

Inicie la sesión como el usuario que va a acceder a él de forma remota y ejecutar el comando google-autenticador para crear una clave secreta para ese usuario.

Deje que el comando para actualizar su archivo de Google Authenticator escribiendo y. Se le pedirá a continuación, con varias preguntas que le permitirá restringir los usos de la misma manera temporal de seguridad, aumentar la ventana de tiempo que las fichas se pueden utilizar para, y límite permitido acceso intentos de obstaculizar los intentos de fuerza bruta de craqueo. Estas opciones de todo el comercio cierta seguridad por alguna facilidad de uso.

Cómo proteger SSH con autenticación de dos factores de Google Authenticator


Google Authenticator le presentará con una clave secreta y varios Anote los códigos de rascar de emergencia en un lugar seguro "códigos de rascar de emergencia." - Que sólo se pueden usar una vez cada uno, y que están destinados a ser utilizados en caso de pérdida del teléfono.

Cómo proteger SSH con autenticación de dos factores de Google Authenticator


Introduzca la clave secreta en la aplicación Google Authenticator en el teléfono (aplicaciones oficiales están disponibles para Android, iOS y Blackberry ). También puede utilizar la función de código de barras escaneado - ir a la URL situado cerca de la parte superior de la salida del comando y se puede escanear un código QR con la cámara del teléfono.

Cómo proteger SSH con autenticación de dos factores de Google Authenticator

Ahora tendrá un código de verificación que cambia constantemente en el teléfono.

Cómo proteger SSH con autenticación de dos factores de Google Authenticator

Si desea iniciar sesión de forma remota como múltiples usuarios, ejecute este comando para cada usuario. Cada usuario tendrá su propia clave secreta y sus propios códigos.

Activar Google Authenticator

A continuación, tendrá que requerir Google Authenticator para las conexiones SSH. Para ello, abra el archivo /etc/pam.d/sshd en su sistema (por ejemplo, con el comando sudo nano /etc/pam.d/sshd) y añadir la siguiente línea al archivo:

auth pam_google_authenticator.so requerido

A continuación, abra el archivo / etc / ssh / sshd_config, busque la línea ChallengeResponseAuthentication, y cambiarlo para que lea como sigue:

ChallengeResponseAuthentication sí

(Si la línea ChallengeResponseAuthentication no existe, agregue la línea anterior al archivo.)

Por último, reinicie el servidor SSH para que sus cambios tendrán efecto:

sudo ssh restart servicio

Cómo proteger SSH con autenticación de dos factores de Google Authenticator


Se le pedirá la contraseña y el código de Google Authenticator cuando intenta iniciar sesión a través de SSH.

Cómo proteger SSH con autenticación de dos factores de Google Authenticator