SSH con 2 passaggi grazie a Google Authenticator

By | Luglio 8, 2017

Molte policy di sicurezza prevedono di cambiare il numero della porta del servizio SSH per garantire una maggiore sicurezza in un sistema Linux. Situazione ormai ovvia in tutto il mondo IT e utilizzata maggiormente dagli utenti che possiedono un proprio server privato. Oggi voglio farvi vedere come aggiungere un’altra policy di sicurezza al servizio SSH senza dover cambiare porta. Si tratta di inglobare il famosissimo Google Authenticator al servizio ssh, in modo tale da avere una sicurezza a due passaggi, ovvero, inserendo la propria password più la combinazione data dall’applicazione G.A. Vediamo dunque come fare tutto questo…

Requisiti

Il primo passo da fare è configurare l’NTP sul nostro OS Linux per avere un orario allineato con il server di Google.

Successivamente scaricare sul proprio dispositivo mobile l’applicazione Google Authenticator:

Prepariamo dunque l’installazione sul nostro sistema Linux.

Installiamo le dipendenze per poter far funzionare correttamente il prodotto:

Per Debian/Ubuntu

# apt-get install build-essential libpam0g-dev libpam0g make

Per CentOS\RHEL

(aver abilitato i repo EPEL)

# yum --enablerepo=epel install gcc gcc++ pam-devel subversion python-devel git

Per ArchLinux

(se necessario)

# pacman -Sy pam wget

Completata l’installazione delle dipendenze procediamo con la compilazione della libreria necessaria. Scarichiamo la libreria con il comando:

# wget https://google-authenticator.googlecode.com/files/libpam-google-authenticator-1.0-source.tar.bz2 -O googleauth.tar.bz2

Configurazione

estraiamo il contenuto:

# tar -xf googleauth.tar.bz2

entriamo nella directory:

# cd libpam-google-authenticator-1.0/

Modifichiamo il MakeFile con il nostro editor preferito:

# nano Makefile

Aggiungiamo, subito dopo la direttiva “VERSION := 1.0“, la riga “LDFLAGS=”-lpam“”:

...
VERSION := 1.0
LDFLAGS="-lpam"
...

A questo punto salviamo il file e lanciamo i comandi di compilazione:

# make && make install

Se l’installazione è andata a buon termine eliminiamo i file scaricati con i comandi:

# cd ..
# rm -rf googleauth.tar.bz2 libpam-google-authenticator-1.0/

a questo punto possiamo lanciare il comando per la prima configurazione:

# google-authenticator

una volta lanciato ci verrà chiesto:

Do you want authentication tokens to be time-based (y/n)

rispondiamo “y” e diamo invio.

a questo punto apparirà un output del genere:

https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/root@myserver%3Fsecret%3D3LXXXXXXXXXXXX
 Your new secret key is: 3LOXXXXXXXXXXXX
 Your verification code is 722511
 Your emergency scratch codes are:
 83222658
 89225401
 50442214
 61802255
 22629775
Do you want me to update your "/root/.google_authenticator" file (y/n)

copiamo il link: https://www.google.com/chart?chs=200×200&…. e incolliamolo nella barra degli indirizzi del nostro browser, facendo apparire il qrcode.

Apriamo l’applicazione G.A. sul nostro dispositivo mobile, andiamo su “Menu” -> “Configura Account

Successivamente facciamo TAB su “Leggi codice a barre

Posizioniamo lo smartphone sullo schermo per leggere il codice a barre e generare i codici di accesso.

Apparirà subito dopo la voce relativa al vostro server (es: root@hostname):

A questo punto l’applicazione è pronta, ritorniamo sul nostro sistema Linux e continuiamo la configurazione. Eravamo rimasti alla domanda:

Do you want me to update your "/root/.google_authenticator" file (y/n)

diamo nuovamente si “y” anche altre domande.

A questo punto non rimane altro da fare che editare il file di configurazione di pam con il nostro editor preferito:

# nano /etc/pam.d/sshd

e aggiungere alla fine del file:

auth required pam_google_authenticator.so

salvate e modificate il file di configurazione sshd_config con il vostro editor preferito:

# nano /etc/ssh/sshd_config

modificando la voce da:

ChallengeResponseAuthentication no

a

ChallengeResponseAuthentication yes

salvate e riavviate il servizio sshd con il comando:

Per Debian/Ubuntu

# service ssh restart

Per RHEL/CentOS

# service sshd restart

Per ArchLinux

# systemctl restart sshd

Test connessione

A questo punto, se tutto andato bene, proviamo connettendoci al server in ssh:

Per abilitare lo stesso codice su altri utenti di sistema basta copiare il file /root/.google_authenticator nella home del proprio utente. Mentre se si vuole un Token a utente basta rilanciare il comando google-authenticator con l’utente desiderato.

Con questo è tutto!!! alla prossima!!!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.