Hay varias cosas que puede hacer para asegurar y proteger su SSH. Una de ellas es usar Google Authenticator y crear una autenticación de dos factores en su CentOS VPS. Google Authenticator le brinda una capa adicional de seguridad al generar contraseñas de un solo uso basadas en el tiempo (TOTP) en su teléfono inteligente que debe ingresar junto con su nombre de usuario y contraseña para iniciar sesión en el servidor a través de SSH.
En el artículo de blog de hoy, explicaremos cómo instalar Google Authenticator desde la fuente y configurar SSH para la autenticación de dos factores.
En primer lugar, actualice su servidor virtual CentOS
yum -y update
A continuación, instale el 'pam-devel ‘ paquete que le permite establecer políticas de autenticación sin tener que volver a compilar los programas que manejan la autenticación.
yum -y install pam-devel
Asegúrese de que ntpd esté instalado y ejecutándose porque los tokens de seguridad TOTP son sensibles al tiempo
yum -y install ntp /etc/init.d/ntpd start chkconfig ntpd on
Descargue y descomprima el paquete de autenticación de Google
cd /opt/ wget https://google-authenticator.googlecode.com/files/libpam-google-authenticator-1.0-source.tar.bz2 tar -xvzf libpam-google-authenticator-1.0-source.tar.bz2 cd libpam-google-authenticator-1.0
Compile e instale el módulo de autenticación de Google
make make install
Ahora, ejecute el autenticador de Google en su servidor y responda cada una de las preguntas
google-authenticator Do you want authentication tokens to be time-based (y/n) y https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/root@YOURHOSTNAME%3Fsecret%3DWYD4YCGEE5N4M3LA Your new secret key is: WYD4YCGEE5N4M3LA Your verification code is 188127 Your emergency scratch codes are: 60086389 28918071 88502143 60873576 90892542 Do you want me to update your "/root/.google_authenticator" file (y/n) y Do you want to disallow multiple uses of the same authentication token? This restricts you to one login about every 30s, but it increases your chances to notice or even prevent man-in-the-middle attacks (y/n) y By default, tokens are good for 30 seconds and in order to compensate for possible time-skew between the client and the server, we allow an extra token before and after the current time. If you experience problems with poor time synchronization, you can increase the window from its default size of 1:30min to about 4min. Do you want to do so (y/n) y If the computer that you are logging into isn't hardened against brute-force login attempts, you can enable rate-limiting for the authentication module. By default, this limits attackers to no more than 3 login attempts every 30s. Do you want to enable rate-limiting (y/n) y
Abra la URL proporcionada después de responder la primera pregunta y escanee el código QR con la aplicación Google Authenticator en su teléfono inteligente. Eso es todo. Se generará un nuevo código de verificación cada 30 segundos.
Ahora deberá habilitar el autenticador de Google para los inicios de sesión SSH. Abra el archivo de configuración de PAM
vi /etc/pam.d/sshd
Y agregue la siguiente línea en la parte superior
auth required pam_google_authenticator.so
Abra el archivo de configuración de SSH y asegúrese de que 'ChallengeResponseAuthentication ' la línea está establecida en sí
ChallengeResponseAuthentication yes
Guarde los cambios y reinicie el servicio SSH:
service sshd restart
Ahora, cada vez que intente ingresar a su servidor mediante SSH, se le pedirá que ingrese el código de verificación que se muestra en su aplicación Google Authenticator.
login as: Verification code: Password:
Por supuesto, si usted es uno de nuestros clientes de Linux VPS Hosting, no tiene que hacer nada de esto, simplemente pregúntele a nuestros administradores, siéntese y relájese. Nuestros administradores configurarán esto para usted de inmediato. Para obtener actualizaciones, puede consultar Secure SSH usando autenticación de dos factores en Ubuntu 16.04.
PD. Si te gustó esta publicación, compártela con tus amigos en las redes sociales usando los botones de la izquierda o simplemente deja una respuesta a continuación. Gracias.