Configurando SSH para usar Autenticación de Doble Factor (A2F - Two-Factor Authentication)

Recién he estado montando mi propio servidor de desarrollo, para proyectos personales. Y sucede, que no importa que tan larga sea la contraseña que elija, siempre me queda esa sensación de que alguien prodrá acceder a mi servidor por SSH :). Esta paranoia despertó en mi al ver en los logs del servidor (de cara a internet) intentos constantes de conexiones fallidas por SSH :). Para calmar - o al menos aliviar - esta paranoia, hoy les traigo un pequeño truco que permite asegurar aún más la autenticación por usuario y contraseña a un servidor SSH. Para esto vamos a utilizar un módulo [PAM](https://es.wikipedia.org/wiki/Pluggable_Authentication_Modules) que habilita la [Autenticación de Doble Factor (A2F)](https://es.wikipedia.org/wiki/Autenticaci%C3%B3n_de_m%C3%BAltiples_factores) en nuestro servidor SSH. ## Instalación ``` sudo apt install libpam-google-authenticator ``` De esta forma añadimos al sistema el módulo [PAM `pam_google_authenticator.so`](https://wiki.archlinux.org/index.php/Google_Authenticator). > Este módulo lo puedes utilizar no solo para configurar el servicio SSH, sino también para todo aquel servicio que utlice PAM como mecanismo de autenticación. ## Configurando `google-authenticator` Ejecuta `google-authenticator` en un terminal ``` # google-authenticator ``` Esto te generará un código QR y te hará una serie de preguntas. Puedes utilizar las siguientes respuestas (fueron las que yo utilicé), pero estas dependerán de tus necesidades: ``` - Make tokens "time-base": yes - Update the `.google_authenticator` file: yes - Disallow multiple uses: yes - Increase the original generation time limit: no - Enable rate-limiting: yes ``` Luego de contestarlas, necesitas abrir tu aplicación generadora de Tokens OTP ([Microsoft Authenticator](https://play.google.com/store/apps/details?id=com.azure.authenticator&hl=es_419), [Google Authenticator](https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=es), ...) y escanear el código QR para sincronizar la generación de tokens. > **IMPORTANTE** Se recomienda guardar los códigos de emergencia de recuperación de forma segura (imprímalos y guárdelos en un lugar seguro), ya que son la única forma de entrar en el sistema (a través de SSH) cuando se pierde el teléfono móvil (es decir, el generador OTP). También se almacenan en ~/.google_authenticator, para que puedas buscarlos en cualquier momento siempre que estés conectado. ## Configurando el servidor SSH Ahora tenemos que expecificarle a nuestro servidor SSH que debe utilizar este módulo. - Primero habilitamos en el archivo `/etc/pam.d/sshd` el módulo recien instalado, agregando la siguiente configuración al final del archivo. ``` auth required pam_google_authenticator.so ``` - Luego modificamos el archivo `/etc/ssh/sshd_config`, habilitando la configuración: ``` ChallengeResponseAuthentication yes ``` - Y finalmente reiniciamos el servicio SSH: ``` sudo systemctl restart sshd.service ``` **NOTA** Es importante señalar que esta configuración no afecta al modelo de autenticación por llaves públicas. Por lo tanto, si tienes una llave pública configurada para acceder a tu servidor SSH, no necesitarás proveer ningún token OTP para poder acceder. Espero esto les ayude a calmar los nervios como a mi :).