RU EN ES FR

Whois de dominio e IP

Dominios HostingTarifas de alojamiento VPS HostingServidores virtuales SSLCertificados Company Empresa

Alojamiento VPS / VDS >  Configurar la autenticación de dos factores en SSH usando Google Authenticator en Centos 7

El servicio SSH tiene la mayor cantidad de ataques de adivinación de contraseñas, acaba de iniciar su servidor y después de unas horas puede ver los intentos de conexión de direcciones IP desconocidas en los registros. Para reducir el número de intentos, recomendamos cambiar inmediatamente el número de puerto en la configuración de sshd. Por supuesto, debe especificar una contraseña de buena complejidad utilizando letras, símbolos y números que distingan entre mayúsculas y minúsculas.

Para los servidores Linux, como regla general, deberá recordar 2 contraseñas, 1 para el usuario normal y la segunda para root. Si hay varios servidores, suelen recurrir a varias aplicaciones que almacenarán la configuración de la sesión (host, login y contraseña), lo cual es bastante normal hasta que el atacante accede a tu estación de trabajo. En cualquier caso, hay sitios, software, etc. infectados. Resulta que no puede estar completamente seguro de que estos datos estén seguros y sean accesibles solo para usted. Hay una solución para este caso. Autorización de dos factores: se agrega una aplicación en su teléfono al inicio de sesión y la contraseña, que, según la hora y la clave única, genera una pregunta y una respuesta en forma de números. Después de ingresar el nombre de usuario y la contraseña, se le pedirá que ingrese el código de verificación, al que se accede en la aplicación Google Authenticator.

Instale los paquetes necesarios

yum install pam pam-devel google-authenticator 

Instala la aplicación móvil

 

Configuraciones

De forma predeterminada, es mejor prohibir el inicio de sesión de un usuario en la configuración de sshd, por lo que si acaba de comenzar a configurar un nuevo servidor, cree un usuario, establezca una contraseña para él y acceda a él:

adduser username
passwd username
su username

Ejecute el comando debajo del usuario para el que está configurando la autenticación de dos factores:

google-authenticator

Presione y en el primer mensaje que le pregunta si desea actualizar el archivo ./google_authenticator. Cuando se le solicite que prohíba la reutilización, presione y nuevamente para evitar que otro usuario use su código. Para el resto de parámetros, presione “y”, ya que todos ellos aumentan la eficiencia de este software.

Asegúrese de copiar la clave secreta y los códigos de recuperación de emergencia en una hoja de papel. Mantenga esta información fuera de línea, porque incluso si alguien encuentra esta información, aún necesita saber el host, el nombre de usuario y la contraseña para iniciar sesión.

Ahora configuraremos PAM para aplicar todas nuestras configuraciones al servicio SSH, estas acciones ya deben realizarse desde el usuario root

vi /etc/pam.d/sshd

Agregue líneas al principio del archivo para que se vea así:

#%PAM-1.0
auth required pam_unix.so no_warn try_first_pass
auth required pam_google_authenticator.so

Dejamos el resto de líneas que estaban en el archivo, van abajo sin cambios. Guarde el archivo y continúe con la configuración del servicio SSH.

vi /etc/ssh/sshd_config

Busque el parámetro ChallengeResponseAuthentication no "y cambie" no "a" yes ". "Guarde los cambios y reinicie el servicio.

service sshd restart

Ahora configure la aplicación en su dispositivo móvil. Busque la opción "ingresar manualmente la clave" y haga clic en ella. Ingrese la clave secreta que anotó anteriormente y guárdela. Ahora aparece el código que deberá ingresar en el campo Código de verificación después de ingresar la contraseña.

Modificaciones:

  • Cambiar secuencia de entrada:

Específicamente establecemos la secuencia de inicio de sesión - contraseña y luego el código de verificación. Si primero desea ingresar el código de la aplicación y luego la contraseña, simplemente elimine la primera línea para que el archivo se vea así:

#%PAM-1.0
auth required pam_google_authenticator.so
  • Autenticación de dos factores al iniciar sesión como root

Por ejemplo, desea iniciar sesión en el servidor como un usuario normal con un nombre de usuario y contraseña, y cuando ingrese el comando su, ingrese la contraseña de root e ingrese el código de la aplicación. Inicie la aplicación ./google_authenticator desde la raíz como lo hizo antes. Configure una aplicación móvil con un código nuevo y agréguelo al archivo:

vi /etc/pam.d/su

hasta el principio de la línea:

#%PAM-1.0
auth required pam_unix.so no_warn try_first_pass
auth required pam_google_authenticator.so

Listo, no es necesario que reinicie el servicio. Ahora, cuando intente iniciar sesión como root, el comando requerirá un código de verificación de la aplicación.

PD Le recomendamos que verifique en otra sesión ssh para evitar errores, tendrá la oportunidad de regresar y corregir.

 

Área de Clientes

Iniciar sesión

Se te olvidó tu contraseña


Regístrate


Revisar correo:

Correo:
Pasar:

Catálogo de aplicaciones VPS

Base de conocimientos

Servicios adicionales

Alojamiento VPS

Fuimos elegidos por compañías de medios líderes con grandes volúmenes de datos y alta carga.

Calcular tarifa

Transferirencia de dominio