LinuxParty
NUESTRO SITIO necesita la publicidad para costear hosting y el dominio. Por favor considera deshabilitar tu AdBlock en nuestro sitio. También puedes hacernos una donación entrando en linuxparty.es, en la columna de la derecha.
De forma predeterminada, SSH ya utiliza la comunicación de datos segura entre máquinas remotas, pero si desea agregar una capa de seguridad adicional a sus conexiones SSH, puede agregar un módulo Google Authenticator ( autenticación de dos factores ) que le permite ingresar uno al azar. contraseña de tiempo ( TOTP ) código de verificación mientras se conecta a los servidores SSH . Deberá ingresar el código de verificación desde su teléfono inteligente o PC cuando se conecte.
Google Authenticator es un módulo de código abierto que incluye implementaciones de tokens de verificación de códigos de acceso únicos ( TOTP ) desarrollados por Google .
Admite varias plataformas móviles, así como PAM (Módulo de autenticación conectable) . Estos códigos de acceso de un solo uso se generan utilizando estándares abiertos creados por la Iniciativa OATH para la Autenticación Abierta ).
En este artículo, le mostraré cómo instalar y configurar SSH para la autenticación de dos factores en distribuciones de Linux basadas en RedHat y Debian , como Fedora, CentOS Stream, Rocky Linux y AlmaLinux, Ubuntu, Debian y Mint.
Instalación de Google Authenticator en Linux
Abra la máquina en la que desea configurar la autenticación de dos factores e instale las siguientes bibliotecas PAM junto con las bibliotecas de desarrollo que se necesitan para que el módulo PAM funcione correctamente con el módulo de autenticación de Google .
En los sistemas basados en RedHat, instale el paquete ' pam-devel ' usando el siguiente comando yum .
# yum install google-authenticator -y
En los sistemas basados en Debian, instale el paquete ' libpam0g-dev ' usando el siguiente comando apt .
$ sudo apt install libpam-google-authenticator -y
Generar tokens de autenticación de Google
Una vez que ejecute el comando ' google-authenticator ', le hará una serie de preguntas.
# google-authenticator
Simplemente escriba " y " ( sí ) como respuesta en la mayoría de las situaciones. Si algo sale mal, puede volver a escribir el comando ' google-authenticator ' para restablecer la configuración.
- ¿Quiere que los tokens de autenticación se basen en el tiempo (sí/no) y
Después de esta pregunta, obtendrá su ' clave secreta ' y ' códigos de emergencia '. Anote estos detalles en alguna parte, necesitaremos la 'clave secreta ' más adelante para configurar la aplicación Google Authenticator .
# Google-autenticador ¿Quiere que los tokens de autenticación se basen en el tiempo (sí/no) y Advertencia: pegar la siguiente URL en su navegador expone el secreto de OTP a Google: https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/ root@Xxxuser %3Fsecret%3DCYZF2YF7HFGX55ZEPQYLHOO5JM%26emisor%3DXxxuser No se pudo usar libqrencode para mostrar el código QR visualmente para escanear. Considere escribir el secreto de OTP en su aplicación manualmente. Su nueva clave secreta es: CYZF2YF7HFGX55ZEPQYLHOM Ingrese el código de la aplicación (-1 para omitir):-1Confirmación de código omitida
Sus códigos de emergencia son: 83714291 53083200 80975623 57217008 77496339
A continuación, siga el asistente de configuración y, en la mayoría de los casos, escriba la respuesta como " y " ( sí ), como se muestra a continuación.
¿Quieres que actualice tu archivo "/root/.google_authenticator" (s/n)?y
¿Quieres prohibir varios usos del mismo token de autenticación?
Esto lo restringe a un inicio de sesión cada 30 segundos, pero aumenta sus
posibilidades de notar o incluso prevenir ataques de intermediarios (sí/no).y
De forma predeterminada, los tokens son válidos durante 30 segundos y para compensar
el posible tiempo. -sesgo entre el cliente y el servidor, permitimos un token
adicional antes y después de la hora actual. Si tiene problemas con la sincronización
horaria deficiente, puede aumentar la ventana de su tamaño predeterminado de 1:30 min
aproximadamente 4 min. quieres hacerlo (t/n)ySi la computadora en la que está
iniciando sesión no está protegida contra intentos de inicio de sesión de fuerza bruta,
puede habilitar la limitación de velocidad para el módulo de autenticación. De forma
predeterminada, esto limita a los atacantes a no más de 3 intentos de inicio de sesión
cada 30 s. ¿Desea habilitar la limitación de velocidad (s/n)?y
Generar tokens de autenticación de Google
Configuración de SSH para usar Google Authenticator en Linux
Abra el archivo de configuración de PAM ' /etc/pam.d/sshd ' y agregue la siguiente línea al final del archivo.
auth required pam_google_authenticator.so nullok auth required pam_permit.so
Configurar PAM para SSH
A continuación, abra el archivo de configuración de SSH ' /etc/ssh/sshd_config ' y desplácese hacia abajo para encontrar la línea que dice.
ChallengeResponseAuthentication no
Cámbielo a “ sí ”. Entonces, se vuelve así.
ChallengeResponseAuthentication yes
Configurar SSH para Google Auth
Finalmente, reinicie el servicio SSH para tomar nuevos cambios.
# systemctl restart sshd O $ sudo systemctl restart sshd
Configuración de la aplicación de autenticación de Google
Inicie la aplicación Google Authenticator en su teléfono inteligente. Presione + y elija " Ingresar una clave de configuración ". Si no tiene esta aplicación, puede descargar e instalar la aplicación Google Authenticator en sus dispositivos Android/iPhone/Blackberry .
Agregue su cuenta ' Nombre ' e ingrese la ' clave secreta ' generada anteriormente.
Clave secreta SSH
Generará una contraseña de un solo uso ( código de verificación ) que cambiará constantemente cada 30 segundos en su teléfono.
Código de autenticación de Google SSH
Ahora intente iniciar sesión a través de SSH , se le solicitará un código de autenticación de Google ( código de verificación ) y una contraseña cada vez que intente iniciar sesión a través de SSH . Solo tiene 30 segundos para ingresar este código de verificación, si lo pierde, se generará un nuevo código de verificación.
login as: Xxxuser Access denied Using keyboard-interactive authentication. Verification code: Using keyboard-interactive authentication. Password: Last login: Tue Apr 23 13:58:29 2022 from 172.16.25.125 [root@Xxxuser ~]#
Si no tiene un teléfono inteligente, también puede usar un complemento de Firefox llamado Authenticator para realizar la autenticación de dos factores.
Importante: la autenticación de dos factores funciona con un inicio de sesión SSH basado en contraseña. Si está utilizando una sesión SSH de clave privada/pública , ignorará la autenticación de dos factores e iniciará sesión directamente.
-
Seguridad
- ¿Qué es SSH y cómo se utiliza? Los conceptos básicos de Secure Shell que necesitas saber
- Asegurar memcached del servidor, para evitar amplificar ataques DDoS
- Consejos de Seguridad para Pagos Móviles en España: Protege tus Transacciones con Estos Consejos Prácticos
- Snort para Windows, detección de Intrusos y seguridad.
- 22 herramientas de seguridad de servidores Linux de código abierto en 2023
- 8 hábitos que deben tomar los teletrabajadores altamente seguros
- 7 cosas que incluso los nuevos usuarios de Linux pueden hacer para proteger mejor el sistema operativo
- Recuperar contraseñas de archivos comprimidos en 3 pasos
- Administración: Glances - herramienta de monitoreo y supervisión para Linux
- Cómo monitorear sistemas Linux remotos con Glances
- Los 5 mejores VPN del momento
- Cómo bloquear ataques de fuerza bruta SSH usando SSHGUARD en Linux
- Cómo purgar y limpiar tus discos y borrar archivos en forma segura
- Generar password aletorios en Linux
- LinuxParty 6 meses, estadísticas y crecimiento.
Redes: |
 |
 |
 |
 |
Suscribete / Newsletter
El Top de LinuxParty
- Cambiar la Hora y la Fecha al sistema Linux
- Cómo configurar la tarjeta de Red Inalámbrica ( WiFi ) en Linux
- Manual para hackear una red wifi
- Cómo configurar el Modem USB o Tarjeta GPRS / 3G para Linux.
- 20 Comandos Netstat para Administradores de Redes Linux
- 29 Prácticos ejemplos de Nmap para Administradores de Sistemas / Redes
- Tutorial de C/C++, programar paso a paso, para Linux, Windows y Mac
- Exportar Bases de Datos de Access (MDB) a MySQL
- ERROR 1045: Access denied for user: 'root@localhost' (Using password: YES)
- 20 ejemplos iptables para administradores de sistemas Linux
- Cómo Montar tu Propio Wiki
- Cómo bloquear fotos e imágenes porno con SafeSquid, servidor proxy
- Introducción a los comandos SNMP, snmpwalk, snmpget, snmptranslate...
- Instalar Microsoft Office en Linux (con Wine)
- Cómo Crear una Base de Datos MySQL e inicializar los privilegios.
- Programar y depurar en un IDE para PHP con Eclipse, plugins PDT, xdebug y Remote debug
- 40 cosas que probablemente no sepas sobre Linux
- Sexo, Violencia, y Tensión en los Juegos.
- Renombrar multiples archivos masivamente en Linux (quitar espacios, cambiar mayúsculas) a la vez en Linux
- 15 Herramientas de la línea de comandos para supervisar el rendimiento de Linux
Donar a LinuxParty
Probablemente te niegues, pero.. ¿Podrías ayudarnos con una donación?
Tutorial de Linux
Últimos comentarios
- Buscar y reemplazar en Vim (1)
- En Italia ha caido un meteorito de más de 45.000 millones de años (2)
- Los mejores juegos de GNU/Linux – Una larga lista (1)
- Cómo configurar DRBD para replicar el almacenamiento en dos servidores CentOS 7 y 8 (1)
- Aprender a programar en Basic con QB64, La versión QuickBASIC para Linux, MacOS y Windows es la opción que las escuelas deberían escoger (2)
- Por qué Linux no triunfa en el Escritorio. (1)
- Configuración del servidor DNS en Linux (3)
- Los 27 mejores IDEs para programación C/C++ o editores de código de Linux (1)
- Q4OS hace que Linux sea fácil para todos (1)
- Cómo configurar un servidor de correo con Postfix y Dovecot para diferentes necesidades (9)