Cómo configurar la autenticación de dos factores en CentOS 7

Ha tomado la decisión de utilizar CentOS 7 en su centro de datos o incluso en local. Una vez que esté en funcionamiento sin problemas, por supuesto, querrá asegurarse de que esté completamente protegido. Lo último que necesita es que su servidor sufra intrusiones o pérdida de datos. Una de las cosas que puede hacer para reducir drásticamente la probabilidad de que su servidor CentOS sea hackeado es configurar la autenticación de dos factores (2FA).

Ya he explicado cómo hacerlo en Ubuntu, pero el proceso de instalación para CentOS es ligeramente diferente. Veamos cómo hacerlo.

Índice de Contenido
  1. Instalación
  2. Uso de google-authenticator
  3. Configuración de SSH
  4. Un paso necesario

Instalación

Este es el punto en el que el proceso varía ligeramente de Ubuntu. Con CentOS 7, primero debes instalar un repositorio antes de poder instalar la herramienta necesaria. El repositorio en cuestión es epel y se puede instalar con el siguiente comando:

sudo yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

Una vez que se haya instalado el repositorio, puedes instalar google-authenticator con el comando:

sudo yum install google-authenticator

Consejos para una exitosa carrera en ciberseguridad

Una vez que el software esté instalado, estará listo para continuar.

Uso de google-authenticator

El comando google-authenticator debe ser ejecutado por cualquier usuario que vaya a iniciar sesión a través de SSH. Como usuario estándar, ejecute el siguiente comando:

google-authenticator

Se te preguntará si deseas que los tokens de autenticación sean basados en el tiempo (y/n) y. Responde que sí y se te presentará un código QR. Escanea ese código con la aplicación Authy o Google Authenticator para agregar esa cuenta a tu aplicación de autenticación de dos factores en tu dispositivo móvil. También debes copiar y guardar los códigos de emergencia que se te presenten.

Una vez hecho esto, responde con los valores predeterminados a las siguientes preguntas:

  • ¿Quieres que actualice el archivo "~/.google_authenticator"? (y/n) y
  • ¿Deseas prohibir el uso múltiple del mismo token de autenticación? Esto te restringe a un inicio de sesión aproximadamente cada 30 segundos, pero aumenta tus posibilidades de detectar o incluso prevenir ataques de intermediario (y/n) y
  • De forma predeterminada, los tokens son válidos durante 30 segundos. Para compensar posibles problemas de sincronización de tiempo entre el cliente y el servidor, permitimos un token adicional antes y después de la hora actual. Si experimentas problemas con una mala sincronización de tiempo, puedes aumentar la ventana desde su tamaño predeterminado de +-1 minuto (tamaño de ventana 3) hasta aproximadamente +-4 minutos (tamaño de ventana de 17 tokens aceptables).¿Deseas hacerlo? (y/n) n
  • Si el equipo en el que estás iniciando sesión no está protegido contra intentos de inicio de sesión de fuerza bruta, puedes habilitar el límite de velocidad para el módulo de autenticación. De forma predeterminada, esto limita a los atacantes a no más de 3 intentos de inicio de sesión cada 30 segundos. ¿Deseas habilitar el límite de velocidad? (y/n) y

Nuevamente, cada usuario que necesite iniciar sesión en el servidor CentOS a través de SSH debe seguir los pasos anteriores.

Cómo ajustar la configuración de seguridad de Gmail en G Suite

Configuración de SSH

Hay dos archivos que debes editar. Abre el primero con el comando sudo nano /etc/pam.d/sshd. Al final de este archivo, agrega lo siguiente:

auth required pam_google_authenticator.so

Hay una opción para agregar nullok al final de esa línea. Esta es una opción si tienes usuarios que aún no han ejecutado el comando google-authenticator y necesitan iniciar sesión en el servidor a través de SSH. Prefiero no usar esa opción y asegurarme de que todos hayan ejecutado el comando antes de configurar SSH para requerir 2FA.

Guarda y cierra ese archivo.

El siguiente archivo se abre para editar con el comando sudo nano /etc/ssh/sshd_config. Busca la línea:

ChallengeResponseAuthentication no

Cómo configurar autenticación de clave SSH y de dos factores en Linux

Cambia la línea anterior por:

ChallengeResponseAuthentication yes

Guarda y cierra ese archivo.

Reinicia sshd con el comando sudo systemctl restart sshd. A partir de este momento, cualquier persona que intente iniciar sesión en el servidor CentOS a través de SSH deberá incluir un código de verificación de la aplicación Authy o Google Authenticator. Sin un código, no podrán iniciar sesión. Punto. Si encuentras que el 2FA no funciona, es posible que debas reiniciar el servidor. Asegúrate de tener acceso físico al servidor en caso de que algo salga mal para poder iniciar sesión localmente y solucionarlo.

Un paso necesario

Todo administrador de CentOS (o Linux) debería considerar esto como un paso necesario para los servidores. Aunque SSH es un protocolo muy seguro, restringirlo aún más puede ayudar mucho a garantizar la seguridad de tus servidores y tus datos.

Cómo recuperar la contraseña olvidada de FileVault y acceder a tus datos protegidos

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo configurar la autenticación de dos factores en CentOS 7 , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.