Como aumentar a segurança do SSH com o Google Authenticator

O SSH (Secure Shell ou Terminal Seguro) para quem não conhece, é um protocolo seguro de rede que permite administrar outros computadores remotamente. Um servidor SSH bem configurado é, praticamente, impenetrável restringindo o acesso apenas a pessoas autorizadas.

Embora voltada para segurança, o SSH possui muitos recursos e sua complexidade acaba resultando em erros na implementação e na administração que acabam deixando brechas para diferentes métodos de ataques como o ataque de força bruta, ataque Man in The Middle, varredura de portas, etc.

Uma das formas de aumentar a segurança é adicionar um segundo estágio na autenticação. Através do sistema de Token, parecido com esses utilizados por bancos, é possível manter o seu servidor SSH muito mais seguro.

Chamada de Google Authenticator, esta ferramenta é uma ótima opção para implementar um novo nível de segurança aumentando assim, a confiabilidade do seu servidor. O Aplicativo é compatível com Android (óbvio) e IOS, está disponível em suas respectivas lojas de aplicativos e fornece um código de seis dígitos a cada 30 segundos.

O primeiro passo é instalar o Google Authenticator no Smartphone. Depois instale o Google Authenticator Module, Módulo de Autenticação no linux através do seguinte comando:

Debian:

Ubuntu:

Depois de instalado, rode-o:

Algumas perguntas serão feitas e você deverá responder sim (y) ou não (n), são elas:

“Você gostaria que os tokens de autenticação sejam baseados no tempo? ”

Ao confirmar, o módulo autenticador irá gerar um código de barras, uma chave secreta e 5 códigos de emergência, seria bom guarda-los em local seguro, pois ele é sua segurança caso perca o seu smartphone.

Abra o Google Authenticator, pressione o botão “+” para adicionar uma nova chave e selecione a opção “ler um código de barras”. A seguir, basta fazer a leitura do código para que a chave seja adicionada com sucesso. Caso sua câmera não esteja funcionando, você pode optar em digitar as chaves também.

Uma vez cadastrado, vamos às próximas perguntas.

“Você quer que eu atualize seu arquivo “/root/.google_authenticator? ”

“Você deseja desativar múltiplos usos do mesmo token de autenticação? Isto vai restringi-lo a uma autenticação aproximadamente a cada 30 segundos, mas aumenta as chances de aviso ou até mesmo prevenir ataques do tipo man-in-the-middle. ”

“Por padrão, os tokens são bons por 30 segundos e para compensar um possível intervalo de tempo entre o cliente e o servidor, permitimos um token extra antes e depois da hora atual. Se você tiver problemas com a sincronização do tempo, você pode aumentar a janela de 1 minutos e 30 segundos por padrão para 4 minutos. Você quer fazê-lo? “

“Se o computador ao qual você está autenticando não tiver proteção contra tentativas de ataque por força bruta, você pode habilitar o limite de autenticação. Por padrão, os invasores estarão limitados a apenas 3 tentativas a cada 30 segundos. Deseja ativar esta limitação? “

Diga sim para todas as perguntas a não ser que você tenha um forte motivo para negar as questões de segurança.

Adicione a seguinte linha ao arquivo “/etc/pam.d/sshd”:

Salve e feche o arquivo.

O próximo arquivo que precisamos editar é “/etc/ssh/sshd_config”. Ao abri-lo, modifique a opção “ChallengeResponseAuthentication” para yes. Salve e reinicie o serviço ssh.

ou

Para finalizar, é só testar a autenticação.

 

Este tutorial foi feito para o Debian, mas serve no Ubuntu e no Kali. Se adaptar os comandos, servirá também no Red Hat, CentOS e no Fedora. Logo utilizarei máquinas com estes sistemas para atualizar este artigo.

Compartilhe
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

2 thoughts on “Como aumentar a segurança do SSH com o Google Authenticator”

Deixe um comentário