Mejora la seguridad en las conexiones por SSH a tu servidor remoto con la autenticación a dos pasos, un servicio gratuito de Google.
Si administras tu propio servidor web, ya sea dedicado o un VPS, lo más seguro es que accedas via
Aparte de las medidas de seguridad habituales puedes agregar lo que se llama "autenticación a 2 pasos" (two factor auth), que todavía mejorará bastante la seguridad de las conexiones. Para ello podemos usar una herramienta gratuita, de la propia gente de Google, llamada Google Authenticator que será la que nos permita hacer two factor auth sin grandes complicaciones.
Esta herramienta es un software basado en autenticación con contraseña de un solo uso. Necesitarás un dispositivo con alguno de estos sistemas operativos: Android, iOS o Blackberry, que te servirán para conseguir esa contraseña de acceso. Por tanto, debes instalar Google Authenticator en tu Dispositivo, descargando el app en la correspondiente tienda de aplicaciones.
Ejemplo, en el Play Store de Android.
Luego necesitarás la librería libpam-google-authenticator instalada en tu servidor. Para conseguir instalarla te explico con detalle los pasos a seguir.
Instalación de la librería de autenticación a dos pasos en tu servidor
Nos ponemos manos a la obra tomando como referencia Debian. No te preocupes por si no es tu distro, pues no hay muchas diferencias.
Primer paso, muy importante, es tener instalado el demonio Network Time Protocol.
Ejecutamos los siguientes comandos:
Luego ajustamos el reloj:
Y añadir la tarea CRON
Y al final de todo añadimos….
Instalamos este paquete
Cambiamos a la ruta tmp,descargamos el Software google authenticator y lo instalamos.
Para Sistemas 64bit
Para Sistemas 32bit
Ahora arrancamos google authenticator
Y saldrá esto en la pantalla.
Obtenemos 4 cosas:
1. Un link:
2. Un código QR que podemos escanear con nuestro dispositivo
3. El new secret key
4. Los códigos de seguridad de emergencia que usaremos en caso de extravió del móvil o dispositivo que usaremos para validarnos.
Ahora, a todas las opciones podemos seleccionar que si: Y
Ingresamos a nuestra app Google Authenticator en nuestro dispositivo -> Configuracion -> Corrección de hora para códigos
Luego creamos nueva cuenta en => Configurar cuenta => Escanear código de barras
Escaneando nuestro código QR o ingresando el new secret key si no podemos escanear.
Mantén otra conexión aparte abierta con Putty para deshacer los siguientes cambios por si no te puedes conectar.
Tenemos que editar los siguientes archivos:
Y añadimos arriba de todo esto:
Y editamos también el sshd_config
Cambiamos lo siguiente de no a yes
Reiniciamos el servicio SSH
Probamos:
Al conectarnos via SSH
Abrimos nuestra app colocamos el código generado nos solicitará luego la contraseña y:
¡Eso es todo!
Ten en cuenta que en seguridad informática: Todo lo que puede suceder, sucede.Saludos
Si administras tu propio servidor web, ya sea dedicado o un VPS, lo más seguro es que accedas via
Debes estar registrado para ver los enlaces
autenticando con tu usuario y contraseña.Aparte de las medidas de seguridad habituales puedes agregar lo que se llama "autenticación a 2 pasos" (two factor auth), que todavía mejorará bastante la seguridad de las conexiones. Para ello podemos usar una herramienta gratuita, de la propia gente de Google, llamada Google Authenticator que será la que nos permita hacer two factor auth sin grandes complicaciones.
Esta herramienta es un software basado en autenticación con contraseña de un solo uso. Necesitarás un dispositivo con alguno de estos sistemas operativos: Android, iOS o Blackberry, que te servirán para conseguir esa contraseña de acceso. Por tanto, debes instalar Google Authenticator en tu Dispositivo, descargando el app en la correspondiente tienda de aplicaciones.
Ejemplo, en el Play Store de Android.
Debes estar registrado para ver las imágenes
Luego necesitarás la librería libpam-google-authenticator instalada en tu servidor. Para conseguir instalarla te explico con detalle los pasos a seguir.
Instalación de la librería de autenticación a dos pasos en tu servidor
Nos ponemos manos a la obra tomando como referencia Debian. No te preocupes por si no es tu distro, pues no hay muchas diferencias.
Primer paso, muy importante, es tener instalado el demonio Network Time Protocol.
Ejecutamos los siguientes comandos:
Código:
apt-get install ntpdate
Luego ajustamos el reloj:
Código:
ntpdate -u de.pool.ntp.org
Código:
crontab -e
Y al final de todo añadimos….
Código:
30 2 */1 * * ntpdate -s de.pool.ntp.org
Instalamos este paquete
Código:
apt-get install libqrencode3
Cambiamos a la ruta tmp,descargamos el Software google authenticator y lo instalamos.
Código:
cd /tmp
Para Sistemas 64bit
Código:
wget http://ftp.debian.org/debian/pool/main/g/google-authenticator/libpam-google-authenticator_20130529-2_amd64.deb
dpkg -i libpam-google-authenticator_20130529-2_amd64.deb
Para Sistemas 32bit
Código:
wget http://ftp.debian.org/debian/pool/main/g/google-authenticator/libpam-google-authenticator_20130529-2_i386.deb
dpkg -i libpam-google-authenticator_20130529-2_i386.deb
Ahora arrancamos google authenticator
Código:
google-authenticator
Y saldrá esto en la pantalla.
Debes estar registrado para ver las imágenes
Obtenemos 4 cosas:
1. Un link:
Debes estar registrado para ver los enlaces
[email protected] %3Fsecret%2. Un código QR que podemos escanear con nuestro dispositivo
3. El new secret key
4. Los códigos de seguridad de emergencia que usaremos en caso de extravió del móvil o dispositivo que usaremos para validarnos.
Ahora, a todas las opciones podemos seleccionar que si: Y
Ingresamos a nuestra app Google Authenticator en nuestro dispositivo -> Configuracion -> Corrección de hora para códigos
Luego creamos nueva cuenta en => Configurar cuenta => Escanear código de barras
Escaneando nuestro código QR o ingresando el new secret key si no podemos escanear.
Debes estar registrado para ver las imágenes
Mantén otra conexión aparte abierta con Putty para deshacer los siguientes cambios por si no te puedes conectar.
Tenemos que editar los siguientes archivos:
Código:
nano /etc/pam.d/sshd
Y añadimos arriba de todo esto:
Código:
auth required pam_google_authenticator.so
Debes estar registrado para ver las imágenes
Y editamos también el sshd_config
Código:
nano /etc/ssh/sshd_config
Código:
ChallengeResponseAuthentication yes
Debes estar registrado para ver las imágenes
Reiniciamos el servicio SSH
Código:
/etc/init.d/ssh restart
Probamos:
Al conectarnos via SSH
Debes estar registrado para ver las imágenes
Abrimos nuestra app colocamos el código generado nos solicitará luego la contraseña y:
¡Eso es todo!
Ten en cuenta que en seguridad informática: Todo lo que puede suceder, sucede.Saludos