Tabla de contenido
Si tienes un servidor Linux y te preocupa la seguridad de tus conexiones SSH, estás en el sitio correcto. La autenticación en dos pasos (2FA) se ha convertido en un método casi imprescindible para proteger accesos importantes. Con Google Authenticator, puedes implementar una protección extra usando contraseñas de un solo uso basadas en el tiempo (TOTP. Aquí te explico, paso a paso y de forma sencilla, cómo configurarlo.
Paso 1: Instalar Google Authenticator
Lo primero que necesitas es instalar Google Authenticator en tu servidor. Este programa se integra fácilmente con PAM (Pluggable Authentication Modules) para añadir 2FA a la autenticación SSH.
Abre una terminal y actualiza los paquetes con:
sudo apt update
Luego, instala el paquete necesario:
sudo apt install libpam-google-authenticator
Ahora, es momento de configurar Google Authenticator para el usuario que va a conectarse mediante SSH. Si eres tú, simplemente ejecuta:
google-authenticator
Cuando ejecutes este comando, el sistema te mostrará un código QR en la pantalla. Abre la app de Google Authenticator (o cualquier otra app compatible con TOTP, como Authy o FreeOTP) y escanea el código. Así se vincularán la app y tu servidor. La aplicación generará códigos de seis dígitos que cambiarán cada cierto tiempo y que necesitarás para iniciar sesión.
Durante el proceso de configuración, el programa te hará una serie de preguntas (como si quieres permitir tokens de emergencia o establecer límites de tiempo). Te recomiendo que leas cada opción y elijas la configuración que mejor te convenga.
Paso 2: Configurar PAM para Google Authenticator
Ahora que tienes la app configurada, hay que decirle al sistema que utilice Google Authenticator como parte del proceso de autenticación.
Para ello, edita el archivo de configuración PAM de SSH:
sudo nano /etc/pam.d/sshd
Una vez dentro del archivo, añade esta línea al inicio:
auth required pam_google_authenticator.so
Guarda los cambios (con Ctrl + O y Enter, y luego Ctrl + X para salir del editor).
Paso 3: Configurar OpenSSH para soportar 2FA
El siguiente paso es modificar la configuración del servicio SSH para que soporte el 2FA. Para ello, edita el archivo de configuración de OpenSSH:
sudo nano /etc/ssh/sshd_config
Dentro del archivo, asegúrate de que estas líneas estén configuradas correctamente:
UsePAM yes ChallengeResponseAuthentication yes
También debes definir el método de autenticación. Vamos a exigir que se use la clave pública junto con el código TOTP, así que añade o modifica esta línea:
AuthenticationMethods publickey,keyboard-interactive
Con esta configuración, SSH pedirá primero la autenticación por clave pública y después el código de Google Authenticator.
Paso 4: Reinicia el servicio SSH
Para aplicar todos los cambios, es necesario reiniciar el servicio SSH:
sudo systemctl restart sshd
Probando la autenticación en dos pasos
Ahora que todo está configurado, es momento de probar si funciona. Cierra la sesión actual y vuelve a conectarte al servidor mediante SSH. Si todo ha ido bien, el sistema te pedirá:
- Tu clave o password para conectar por SSH.
- El código de seis dígitos generado por Google Authenticator.
Si introduces ambos correctamente, tendrás acceso al servidor. ¡Así de fácil!
Consejos adicionales
Copia de seguridad del código QR: Cuando configures Google Authenticator, guarda una copia del código QR o las claves de emergencia. Si pierdes tu teléfono, te será muy útil.
Limita los intentos fallidos: Para mayor seguridad, puedes configurar fail2ban para bloquear direcciones IP después de varios intentos fallidos.
Deshabilita la autenticación por contraseña: Si solo permites la autenticación por clave pública y 2FA, tu servidor será mucho más seguro.