Doble factor de autenticación en SSH con Google Authenticator

Authenticator logo

En la entrada de hoy, vamos a ver cómo activar la verificación en dos pasos de Google en las conexiones ssh a nuestros equipos, de tal forma que aunque nuestro usuario y contraseña se viesen comprometidos, no será posible iniciar sesión sin este segundo factor de autenticación proporcionado por Google Authenticator. El tutorial se ha realizado en una raspberry pi con raspbian, pero es totalmente válido para Debian, Ubuntu y derivados…

Lo primero que vamos a hacer es instalar los paquetes necesarios para habilitar el módulo de autenticación de google, para ello ejecutamos el siguiente comando:

$ sudo apt-get install libpam-google-authenticator

Editamos el fichero “/etc/pam.d/sshd” y habilitamos módulo de autenticación de google añadiendo la línea “auth required pam_google_authenticator.so“:

$ sudo nano /etc/pam.d/sshd

seleccion_053

También editamos el fichero sudo nano “/etc/ssh/sshd_config” y ponemos la línea “ChallengeResponseAuthentication”  a “yes“:

$ sudo nano /etc/ssh/sshd_config

seleccion_054

Reiniciamos el servicio ssh para hacer efectivos los cambios:

$ sudo service ssh restart

Ejecutamos el comando “google-authenticator” que nos proporcionará el código QR y la secret key que necesitaremos para agregar la cuenta en la app de Google Authenticator:

$ google-authenticator

seleccion_050

Respondemos a la preguntas que nos formula según nuestras necesidades:

seleccion_051

En este punto abrimos la app google authenticator del móvil y seleccionamos “escanear código” o “Introducir una clave proporcionada”:

photo_2017-01-03_16-59-00

Una vez escaneado el código o introducida la clave, nos aparecerá una nueva entrada en la app con las claves de verificación de nuestro usuario:

photo_2017-01-03_17-02-22

Ahora si intentamos iniciar una nueva sesión, vemos como después de introducir el “password” nos solicita el “Verification code“, que obtendremos de la app google authenticator:

seleccion_052

Anuncios

9 Responses to “Doble factor de autenticación en SSH con Google Authenticator”


  1. 1 Diego “d1cor” Cordoba 01/20/2017 en 14:56

    Hola Alberto! Excelente artículo, me ha resultado muy útil.

    Solo una aclaración me resulta oportuna. Técnicamente el google authenticator no es autenticación de dos factores (2FA), sino verificación de dos pasos (2SV). Nada grave, en general suelen confundirse, simplemente para sumar algo de información al respecto.

    Te dejo un link de un artículo que escribí sobre el tema, espero pueda enriquecer tu excelente blog.

    https://juncotic.com/login-dos-pasos-dos-factores-2fa-vs-2sv/

    Saludos cordiales desde Argentina!

  2. 3 labolsadeideas 04/01/2018 en 23:47

    Buenas,

    Tengo solo un usuario configurado para acceder por ssh utilizando GoogleAuthenticator tal y como viene aquí detallado en tu post.

    Desde este momento no puedo acceder por ssh con otro usuario que no sea root (clave pública) y el usuario configurado para que introduzca el código de google.

    Es decir, tengo un tercer usuario, necesario, que desde este momento no puede acceder por ssh ni por sftp.

    ¿Hay alguna forma de hacerlo posible? ¿Y de ser así, cómo?

    Gracias!

  3. 7 13tzameti 07/18/2018 en 19:53

    Men buenas tardes, existe la manera de poder autentificar SSH en Google, teniendo un servicio como Remote.it para conectarme al equipo, ya que por mi trabajo es necesario conectarme al equipo, y siguiendo el tutorial en el primer cambio con nano he perdido conexion y me solicita clave al equipo. de entrada creo que este movimiento se realiza en Lan, y yo lo he hecho por remoto.Te agradezco.

    • 8 13tzameti 07/19/2018 en 5:08

      Al final todo se trato de no haber guardado el archivo despues de lanzar el authenticator, y por supuesto tuve que modificar desde lan sin mayor problema. agrego la info por si alguien tiene el mismo problema al lanzar por remoto, siempre tengan una o dos sesiones abiertas de ssh por si ahi que cambiar al vuelo despues de comprobar

      Do you want me to update your “~/.google_authenticator” file (y/n) y


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s




TELDAT CTI
VCA-DCV
JNCIA
CCNA

Introduce tu correo electrónico y recibe todas las actualizaciones

Únete a otros 155 seguidores

enero 2017
L M X J V S D
« Dic   Abr »
 1
2345678
9101112131415
16171819202122
23242526272829
3031  

Actualizaciones de Twitter

Blog Stats

  • 555.519 Visitas
Creative Commons
Anuncios

A %d blogueros les gusta esto: