Doble factor de autenticación en SSH con Google Authenticator

Authenticator logo

En la entrada de hoy, vamos a ver cómo activar la verificación en dos pasos de Google en las conexiones ssh a nuestros equipos, de tal forma que aunque nuestro usuario y contraseña se viesen comprometidos, no será posible iniciar sesión sin este segundo factor de autenticación proporcionado por Google Authenticator. El tutorial se ha realizado en una raspberry pi con raspbian, pero es totalmente válido para Debian, Ubuntu y derivados…

Lo primero que vamos a hacer es instalar los paquetes necesarios para habilitar el módulo de autenticación de google, para ello ejecutamos el siguiente comando:

$ sudo apt-get install libpam-google-authenticator

Editamos el fichero “/etc/pam.d/sshd” y habilitamos módulo de autenticación de google añadiendo la línea “auth required pam_google_authenticator.so“:

$ sudo nano /etc/pam.d/sshd

seleccion_053

También editamos el fichero sudo nano “/etc/ssh/sshd_config” y ponemos la línea “ChallengeResponseAuthentication”  a “yes“:

$ sudo nano /etc/ssh/sshd_config

seleccion_054

Reiniciamos el servicio ssh para hacer efectivos los cambios:

$ sudo service ssh restart

Ejecutamos el comando “google-authenticator” que nos proporcionará el código QR y la secret key que necesitaremos para agregar la cuenta en la app de Google Authenticator:

$ google-authenticator

seleccion_050

Respondemos a la preguntas que nos formula según nuestras necesidades:

seleccion_051

En este punto abrimos la app google authenticator del móvil y seleccionamos “escanear código” o “Introducir una clave proporcionada”:

photo_2017-01-03_16-59-00

Una vez escaneado el código o introducida la clave, nos aparecerá una nueva entrada en la app con las claves de verificación de nuestro usuario:

photo_2017-01-03_17-02-22

Ahora si intentamos iniciar una nueva sesión, vemos como después de introducir el “password” nos solicita el “Verification code“, que obtendremos de la app google authenticator:

seleccion_052

Anuncios

2 Responses to “Doble factor de autenticación en SSH con Google Authenticator”


  1. 1 Diego “d1cor” Cordoba 01/20/2017 en 14:56

    Hola Alberto! Excelente artículo, me ha resultado muy útil.

    Solo una aclaración me resulta oportuna. Técnicamente el google authenticator no es autenticación de dos factores (2FA), sino verificación de dos pasos (2SV). Nada grave, en general suelen confundirse, simplemente para sumar algo de información al respecto.

    Te dejo un link de un artículo que escribí sobre el tema, espero pueda enriquecer tu excelente blog.

    https://juncotic.com/login-dos-pasos-dos-factores-2fa-vs-2sv/

    Saludos cordiales desde Argentina!


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




TELDAT CTI
VCA-DCV
JNCIA
CCNA

Introduce tu correo electrónico y recibe todas las actualizaciones

Únete a otros 146 seguidores

enero 2017
L M X J V S D
« Dic    
 1
2345678
9101112131415
16171819202122
23242526272829
3031  

Actualizaciones de Twitter

Blog Stats

  • 422,701 Visitas
Creative Commons

A %d blogueros les gusta esto: