Por sí mismo, SSH ya es una forma segura de conectarse a una máquina remota, pero si todavía desea añadir seguridad adicional a su conexión SSH, puede añadir una autenticación de dos factores para que se le pida que introduzca un código de verificación aleatorio cuando se conecte a través de SSH. Te hemos mostrado cómo hacerlo en WordPress , LastPass , Facebook , Dropbox y Google . Aquí le mostraremos cómo añadir autenticación de dos factores a su conexión SSH.
Nota : Esta instrucción está basada en el servidor Ubuntu. Si está usando otra distribución, algunos de los comandos pueden variar.
En el equipo en el que desee instalar la autenticación de dos factores, abra una sesión de terminal (si ya ha iniciado sesión en el equipo remoto, ya está en una sesión de terminal). Escriba lo siguiente:
sudo apt-get install libpam-google-authenticator
Para completar la instalación, ejecute:
google-authenticator
Se le pedirá una serie de preguntas. En la mayoría de los casos, puede escribir «y» (sí) como respuesta. Cada vez que te hayas equivocado, puedes volver a escribir google-authenticator para restablecer la configuración.
- ¿Desea que los tokens de autenticación estén basados en el tiempo (sí/no)
?
Después de esta pregunta, debería ver su clave secreta y su código de emergencia. Grabe y grabe el detalle. Necesitarás la clave secreta para configurar la aplicación Google Authenticator más adelante.
- ¿Quiere que actualice su archivo «/home/username/.google_authenticator» (s/n)
- ¿Desea desactivar varios usos del mismo token de autenticación? Esto le restringe a un inicio de sesión cada 30 segundos, pero aumenta sus posibilidades de notar o incluso prevenir ataques de hombre en el medio (s/n)
- Por defecto, los tokens son válidos durante 30 segundos y para compensar la posible distorsión temporal entre el cliente y el servidor, permitimos un token adicional antes y después de la hora actual. Si tiene problemas con una mala sincronización horaria, puede aumentar la ventana de su tamaño predeterminado de 1:30min a unos 4min. ¿Desea hacerlo (sí/no)
- Si el equipo en el que está iniciando sesión no está protegido contra los intentos de inicio de sesión por fuerza bruta, puede habilitar la limitación de velocidad para el módulo de autenticación. De forma predeterminada, esto limita los atacantes a no más de 3 intentos de inicio de sesión cada 30 segundos. ¿Desea habilitar la limitación de velocidad (sí/no)
?
Configuración de su SSH para utilizar el módulo Autenticador de Google
Abra el archivo pam.d/sshd:
sudo nano /etc/pam.d/sshd
Añada esta línea a la parte superior del archivo:
auth requerido pam_google_authenticator.so
Guardar (Ctrl + o) y salir (Ctrl + x) del archivo.
A continuación, abra el archivo sshd_config
sudo nano /etc/ssh/sshd_config
Desplácese por la lista hasta encontrar la línea:
ChallengeResponseAuthentication no> Autenticación de retos
Cámbialo por «sí», para que se convierta en «sí»:
ChallengeResponseAuthentication yes>ResponseAuthentication yes
Guarde y salga del archivo.
Por último, reinicie el servidor ssh:
Sudo servicio ssh reinicio
Configuración de una nueva cuenta en la aplicación Google Authenticator
1. Abre la aplicación Google Authenticator en tu smartphone. Pulse Menú y seleccione «Configurar una cuenta».
2. Pulse «Introducir tecla suministrada».
3. Dé un nombre a su cuenta e introduzca la clave secreta generada anteriormente.
Hecho.
Ahora, cuando se conecte a través de SSH a su ordenador remoto, verá la solicitud de la clave de verificación.
Nota : La autenticación de dos factores sólo funciona para el inicio de sesión basado en contraseña. Si ya está utilizando una clave pública/privada para su sesión SSH, ésta evitará la autenticación de dos factores e iniciará sesión directamente.
