Como configurar a autenticação de dois fatores (2FA) para SSH no CentOS 6 usando o Google Authenticator

• Etapa 1: instalando os pacotes necessários
• Etapa 2: configurando o software
• Etapa 3: configurando o Google Authenticator no seu dispositivo móvel
• Conclusão

Após alterar a porta SSH, configurar a batida na porta e fazer outros ajustes na segurança do SSH, talvez haja mais uma maneira de proteger o servidor; usando autenticação de dois fatores. Com a autenticação de dois fatores (2FA), uma pessoa exigiria que seu dispositivo móvel acesse seu servidor SSH. Isso pode ser útil para proteger contra todos os ataques de força bruta e tentativas de login não autorizadas.

Neste tutorial, explicarei como configurar o 2FA no servidor CentOS 6 com SSH e Google Authenticator.

Etapa 1: instalando os pacotes necessários

O pacote "google-authenticator" existe no repositório padrão do CentOS. Execute o seguinte comando como usuário root para instalá-lo.

yum install pam pam-devel google-authenticator

Agora que você o instalou no servidor, será necessário instalar o aplicativo "Google Authenticator" no seu dispositivo móvel.

• Download para dispositivos Android
• Download para dispositivos iOS

Depois de instalar isso, mantenha seu dispositivo móvel prontamente disponível, pois ainda precisamos configurar o 2FA.

Etapa 2: configurando o software

Primeiro, faça o login via SSH como o usuário que você deseja proteger.

Execute o seguinte comando:

 google-authenticator

Pressione "y" na primeira mensagem, onde ele pergunta se você deseja atualizar o ./google_authenticatorarquivo. Quando solicitar que você não permita vários usos, pressione "y" novamente para que outro usuário não possa usar seu código. Para o restante das opções, pressione "y", pois todas melhoram a eficácia deste software.

Ótimo! Certifique-se de copiar a chave secreta e os códigos de rascunho de emergência em um pedaço de papel.

Agora, precisamos configurar o PAM para usar 2FA.

Neste artigo, usarei o nano como o editor de texto preferido. Execute o seguinte comando como root.

nano /etc/pam.d/sshd

Adicione a seguinte linha na parte superior do arquivo.

 auth required pam_google_authenticator.so 

Salve e feche o editor.

Em seguida, configure o daemon SSH para usar 2FA.

nano /etc/ssh/sshd_config

Localize a linha semelhante a "ChallengeResponseAuthentication no" e altere "no" para "yes".

Reinicie o servidor SSH:

service sshd restart

Etapa 3: configurando o Google Authenticator no seu dispositivo móvel

Para configurar este software, precisamos adicionar a chave secreta. Encontre a opção "inserir manualmente a chave" e toque nela. Insira a chave secreta que você anotou anteriormente e salve. Um código será exibido e será atualizado de vez em quando. Você precisará disso para efetuar logon no servidor SSH a partir de agora.

Conclusão

O objetivo da autenticação de dois fatores é melhorar a segurança do seu servidor. Como ninguém mais terá acesso ao seu dispositivo móvel, eles não poderão descobrir o código para fazer login no seu servidor.

Outras versões

• Ubuntu
• CentOS