Cómo configurar autenticación de dos factores en Linux: Guía paso a paso

Si eres un administrador de Linux y deseas proteger al máximo tus servidores y equipos de escritorio, debes considerar utilizar la autenticación de dos factores. Esta medida de seguridad debería ser una de las primeras en implementarse, ya que al agregarla se vuelve extraordinariamente más difícil que usuarios maliciosos accedan a tus máquinas. Con Linux es posible configurar una máquina de manera que no se pueda iniciar sesión en la consola o en el escritorio sin tener el código de autenticación de dos factores asociado a esa máquina.

Índice de Contenido
  1. Antes de comenzar
  2. Lo que necesitas
  3. Instalación
  4. Configuración
  5. Configurar SSH
  6. Iniciar sesión
  7. Bienvenido a un nuevo nivel de seguridad

Antes de comenzar

Hay algo importante que debes saber sobre la autenticación de dos factores: una vez que la hayas configurado, sin los códigos generados por terceros, no podrás acceder a tu máquina. Cada vez que desees iniciar sesión, necesitarás tu teléfono inteligente o los códigos de emergencia (generados al instalar las herramientas necesarias).

Lo que necesitas

Obviamente, necesitarás un servidor o equipo de escritorio con Linux. Asegúrate de que esté completamente actualizado y de que tus datos estén respaldados (porque nunca se sabe). También necesitarás una aplicación de terceros (como Authy o Google Authenticator) para generar tus códigos de dos factores. Personalmente, utilizo Authy para esta tarea. No explicaré el proceso de instalación de ninguna de estas dos aplicaciones, ya que es autodescriptivo.

Dicho esto, comencemos con la configuración.

Instalación

Inicia sesión en tu máquina Linux y sigue estos pasos:

  1. Abre una ventana de terminal.
  2. Escribe el comando sudo apt install libpam-google-authenticator.
  3. Escribe tu contraseña de sudo y presiona Enter.
  4. Si se te solicita, escribe "y" y presiona Enter.
  5. Permite que se complete la instalación.

Ahora es el momento de configurar la máquina para la autenticación de dos factores.

FileVault 2: Protege tus datos con el cifrado de disco completo en Mac

Configuración

De vuelta en la ventana de terminal, escribe el comando sudo nano /etc/pam.d/common-auth. Agrega la siguiente línea al final del archivo:

auth required pam_google_authenticator.so nullok

Guarda y cierra ese archivo.

Ahora debemos configurar Google Authenticator para cada usuario que necesite iniciar sesión en la máquina. Voy a demostrarlo con un solo usuario. Regresa a la ventana de terminal y, como el usuario en cuestión, escribe el comando google-authenticator. Se te pedirá responder una serie de preguntas. La primera pregunta es: ¿Deseas que los tokens de autenticación sean basados en el tiempo (s/n)? s. Responde con una "s" y se te mostrará un código QR (Figura A). Abre tu aplicación de dos factores en tu teléfono inteligente, agrega una nueva cuenta y escanea ese código.

Figura A

Cómo configurar autenticación de dos factores en Linux: Guía paso a paso - Seguridad | Imagen 1 Newsmatic

Cómo exportar contraseñas desde Chrome a un administrador de contraseñas

Una vez que hayas agregado el código, responde las preguntas restantes, las cuales son:

  • ¿Deseas que actualice el archivo "/home/tu_usuario/.google_authenticator" (s/n)? s
  • ¿Deseas que se prohíban los usos múltiples del mismo token de autenticación? Esto te limita a un inicio de sesión aproximadamente cada 30 segundos, pero aumenta las posibilidades de detectar o prevenir ataques de intermediarios (s/n)
  • Por defecto, los tokens tienen una validez de 30 segundos, y para compensar las posibles diferencias de tiempo entre el cliente y el servidor, permitimos un token adicional antes y después del tiempo actual. Si tienes problemas de sincronización de tiempo, puedes aumentar la ventana de 1:30 minutos a aproximadamente 4 minutos. ¿Deseas hacerlo (s/n)?
  • Si la computadora en la que estás iniciando sesión no está protegida contra intentos de inicio de sesión por fuerza bruta, puedes habilitar la limitación de tasa para el módulo de autenticación. Por defecto, esto limita a los atacantes a no más de 3 intentos de inicio de sesión cada 30 segundos. ¿Deseas habilitar la limitación de tasa (s/n)?

Responde cada pregunta escribiendo "s" y presionando Enter.

Configurar SSH

A continuación, debemos configurar SSH para permitir la autenticación de dos factores. De lo contrario, no podrás iniciar sesión a través de SSH. Sigue estos pasos:

Primero, habilita el módulo PAM. Para hacerlo, escribe el comando sudo nano /etc/pam.d/sshd. Con el archivo abierto, agrega la siguiente línea al final del archivo:

auth required pam_google_authenticator.so nullok

Guarda ese archivo y luego escribe el comando sudo nano /etc/ssh/sshd_config. En este archivo, busca:

Cómo habilitar y utilizar la función Encuentra mi dispositivo en Android

ChallengeResponseAuthentication no

y cambia a:

ChallengeResponseAuthentication yes

Guarda ese archivo y reinicia SSHD con el comando sudo systemctl restart sshd.

Iniciar sesión

Antes de cerrar sesión en tu servidor desde la ventana de terminal actual, te sugiero encarecidamente que abras una nueva ventana e intentes iniciar sesión de forma segura a través de shell en la máquina. Si no puedes iniciar sesión, repasa los pasos y asegúrate de no haber omitido nada. Una vez que hayas iniciado sesión con éxito de esa manera, puedes cerrar tu sesión actual y volver a iniciar sesión.

Bienvenido a un nuevo nivel de seguridad

Eso es todo lo que necesitas para agregar una capa de seguridad adicional muy necesaria a tus máquinas Linux. Recuerda que sin esa aplicación de dos factores de terceros, no podrás iniciar sesión en tu máquina configurada de esta manera, así que asegúrate de tener tu teléfono a mano en todo momento.

Cómo proteger tu privacidad en el navegador: consejos y recomendaciones

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo configurar autenticación de dos factores en Linux: Guía paso a paso , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.