La forma más habitual de proteger el inicio de sesión de un equipo es hacerlo a través de un usuario y una contraseña de manera que sin ellos no se pueda acceder a él. Sin embargo este método es susceptible a ciertos tipos de ataques, por ejemplo, ataques de fuerza bruta, de manera que con tiempo la contraseña podría ser adivinada y el sistema podría verse comprometido.

Google Authenticator es una herramienta que nos permite aplicar una capa de seguridad adicional a nuestros servicios web (y a algunos servicios de escritorio como podemos ver a continuación) de manera que para un inicio de sesión debemos introducir el usuario y la contraseña y un código aleatorio que recibiremos en nuestro smartphone y que tendrá una validez de pocos segundos evitando que sin ese código se pueda iniciar sesión en cualquier plataforma compatible.

En este tutorial vamos a ver cómo configurar Ubuntu para que nos solicite un código de Google Authenticator para poder iniciar sesión en el sistema y evitar cualquier inicio de sesión no autorizado sin la clave.

Instalar dependencias y Google Authenticator en Ubuntu

Lo primero que debemos hacer es instalar en nuestro sistema los módulos de Google Authenticator antes de poder utilizarlos. Para ello tecleamos en nuestro terminal:

sudo apt install libpam-google-authenticator

Inicio sesion Ubuntu Google Authenticator fotoUna vez finalice la instalación de paquetes ya podemos continuar con el tutorial para habilitar esta nueva capa de seguridad a nuestro sistema.

Configurar Google Authenticator en el sistema

Una vez que tenemos todos los elementos instalados en nuestro sistema debemos configurar el módulo de G.Auth y obtener así las claves privadas de generación de códigos. Para ello tecleamos en el terminal:

google-authenticator

Y nos cargará un pequeño asistente con varias preguntas.

Servidor ssh google authenticator tutorial foto 4

Debemos contestar a todas las respuestas como “yes” ya que el asistente se resume en:

  • Calcular los códigos en función de la hora.
  • Evitar que varios usuarios utilicen el mismo código.
  • Ampliar la validez de cada código para evitar errores de sincronización cliente-servidor.
  • Limitar los intentos de inicio de sesión a 3 por cada 30 segundos.

En este mismo asistente podemos ver una entrada llamada “Your new secret key is”. Este código debemos introducirlo en el cliente de nuestro smartphone (recomendamos utilizar Authy) para vincular nuestro ordenador con el generador de códigos de acceso de nuestro smartphone.

Authy_foto

Habilita la doble autenticación en el inicio de sesión del sistema

Una vez que tenemos los componentes instalados y configurados sólo nos queda activar el módulo en el inicio de sesión de Lightdm. Para ello en el terminal abrimos el menú de configuración con:

sudo nano /etc/pam.d/lightdm

Una vez que tenemos el fichero de configuración de Lightdm en el editor debemos añadir la siguiente línea:

auth required pam_google_authenticator.so nullok

Inicio sesion Ubuntu Google Authenticator foto 2Una vez añadida la anterior línea guardamos los cambios en el fichero y podemos cerrar el terminal.

Para finalizar reiniciaremos el sistema y veremos cómo a la hora de iniciar sesión en el sistema, tras introducir la contraseña, nos solicita el código generado en nuestro smartphone para poder acceder al escritorio. Debemos asegurarnos de configurar nuestro cliente de Google Authenticator en nuestro smartphone antes de reiniciar el equipo ya que sin el código no podríamos volver a acceder al sistema.

Inicio sesion Ubuntu Google Authenticator foto 3Si tenemos activada la opción de “inicio automático” en nuestro Ubuntu esta ventana no aparecerá y se accederá automáticamente al escritorio. Debemos configurar nuestro sistema operativo para que pida la contraseña al iniciar si queremos que la doble autenticación proteja nuestro sistema. Para deshabilitar esta doble autenticación simplemente debemos eliminar la línea que hemos añadido del fichero anterior.

Esta doble autenticación no afecta a las conexiones remotas a través de SSH, para proteger estos inicios de sesión debemos seguir el tutorial para habilitarlo:  Manual de configuración de OpenSSH con Google Authenticator

Os recomendamos visitar nuestra sección de Seguridad Informática para leer otros tutoriales muy útiles.

Publicado por Rubén Velasco el 25 febrero 2015

Últimos análisis

Valoración RZ
10
Valoración RZ
8
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10
Valoración RZ
9
Valoración RZ
10
Valoración RZ
7
Valoración RZ
9