Inicio > Uncategorized > Doble factor de autenticación ssh OTP google authenticator Centos

Doble factor de autenticación ssh OTP google authenticator Centos

Hace poco realice una entrada de como implementar OTP Skey  en OpenBSD,  en este momento les traigo una entrada de Doble factor de autenticación OTP pero esta vez utilizando Gnu/Linux mas concretamente  Centos, y utilizando la librería de google  “libpam-google-authenticator-1.0”.

Para las personas que  exponen sus servidores  a Internet  por Ssh y que  por motivos de la empresa no pueden ser filtrados,  pero que a su ves necesitan una seguridad robusta   ya no se quieren arriesgar a que sus usuarios pierdan  sus contraseñas y de esta manera exponer su red, una solución para mitigar estos problemas  es la utilización de   un doble factor de autenticación  con lo cual tenemos una clave conocida y otra que se genera cada vez que  necesitamos ingresar a nuestro servidor, para esto google  ha generado la herramienta google-authenticator  con la cual por medio de una instalación sencilla y una App para nuestro smarphone podemos  tener un servidor SSH  con OTP de manera rápida y sencilla.

 

1. Lo primero que aremos sera instalar las librerías necesarias y  para “pam”, “gcc”, “make” para compilar los modulos y “wget” para descarga de archivos por consola.

yum install pam-devel make gcc-c++ wget

otp

 

2. Una ves instalados los paquetes necesarios creamos una carpeta para la descarga y descompresión de la librería de OTP de  google, esto lo realizamos de la siguiente manera:

# mkdir otp-google

#cd otp-google

#wget https://google-authenticator.googlecode.com/files/libpam-google-authenticator-1.0-source.tar.bz2

# bzip2 -dc libpam-google-authenticator-1.0-source.tar.bz2 | tar -xv

# cd libpam-google-authenticator-1.0

otp1

3. Luego de descargar y descomprimir la librería ingresamos a la carpeta  y procedemos a realizar la instalación de esta para esto necesitamos compilarla y lo hacemos de la siguiente manera.

#cd libpam-google-authenticator-1.0

#make

#make install

otp2

 

4. Una vez instalada la librería lo siguiente que necesitaremos realizar es la configuración de una  clave secreta para que por medio de esta podamos generar los códigos de verificación, esto lo realizamos con el comando  “google-authenticator” el cual nos realizara una serie de preguntas a las cuales responderemos con la letra “Y” al finalizar este proceso  copiamos la clave que nos genera la cual necesitaremos para el ingreso mas tarde.

#google-authenticator

La salida del comando la podemos observar en la imagen:

otp3

5. Una ves generada la clave secreta  procedemos a realizar la configuración de Pam y ssh para que utilice este método de autenticación, para esto necesitamos agregar la siguiente linea al inicio del archivo:

#vi /etc/pam.d/sshd

~auth required pam_google_authenticator.so

~

:wq

otp4

6.Una ves modificado el modulo de Pam es necesario   cambiar  la configuración del SSH para que también utilice este tipo de autenticacion para esto modificamos el archivo “/etc/ssh/sshd_config”, y buscamos la siguiente linea “ChallengeResponseAuthentication no” cambiamos el “no” por “yes”, una ves terminado esto reiniciamos el servicio SSH.

#vi /etc/ssh/sshd_config

~

#ChallengeResponseAuthentication no

ChallengeResponseAuthentication yes

:wq

otp5

 

Configuración Google Authenticator App

Para configurar la App es necesario tener un smarphone Android o iOS de apple, para este ejemplo se va a instalar e un Android y para esto vamos a el Play Store  y buscamos google authenticator y le damos instalar, una ves instalado  abrimos el programa:


otp91

 

Se nos abrirá el siguiente formulario, en el cual colocaremos un nombre a nuestro perfil  y  luego la clave que generamos anteriormente en el paso “4”  quedaría de la siguiente manera:

otp7

Y por ultimo damos clic en Agregar y luego de esto se nos abrirá una ventana donde nos mostrara los códigos que podemos utilizar para el ingreso a nuestro servidor vía SSH el código se renueva cada cierto tiempo por lo cual hay que  ser ágiles en la digitación de este:


opt65

 

Una ves que tenemos nuestro código  intentamos iniciar sesión  vía ssh y nos pedirá el código de verificación  y digitamos el código que este en ese momento luego ingresamos la contraseña del usuario y por ultimo si todo funciona correctamente podremos entrar a nuestra sesión.

otp8

Pagina oficial del proyecto: https://code.google.com/p/google-authenticator/

Wiki proyecto: http://es.wikipedia.org/wiki/Google_Authenticator

Anuncios
Categorías:Uncategorized
  1. Aún no hay comentarios.
  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: