Introducción

Ahora que la seguridad esta tan al día y cada vez son los servicios que requieren de la autentificación de doble factor o MFA de sus siglas en inglés, he decidido configurar dicha autenticación en mi servidor de Ubuntu con la versión 20.04.

Realmente los pasos para configurarla y activarla es realmente sencillo y no se requiere ni de muchos pasos ni de una gran cantidad de cambios en la configuración de la máquina.

Aunque no es del todo complejo, hay algún paso que no me ha cuadrado y es por ello que me he decicido ha incluir esta entrada en mi blog.

Instalación

Para llevar a cabo la instalación del MFA en ubuntu se pueden seguir cualquier de los siguientes links:

• Configure SSH to use two-factor authentication
• How to Use Two-Factor Authentication with Ubuntu
• How To Configure Multi-Factor Authentication on Ubuntu 18.04

El primero es el propio de la Web de Ubuntu y es el que yo he seguido. Obteniendo los resultados que quería para la autenticación, aunque si es cierto que hay un par te puntos a tener en cuenta porque al finalizar los mismos el sistema no funcionaba como yo esperaba.

Es interesante tener presente los tres enlaces, ya que, en los otros dos hace referencia a como eliminar el MFA en caso de querer quitarlo o bien dan respuesta a preguntas que en la propia web de Ubuntu no se profundiza.

Algunas consideraciones

Básicamente un par de ellas para que el sistema acabe de trabajar como queremos.

Del segundo Link referenciado (How to Use Two-Factor Autentication with Ubuntu) la recomendación a la pregunta de la sincronización de tiempo entre Servidor y Cliente, recomienda indicar que NO a la respuesta del wizard en la configuración:

In the next prompt, Select 'n' to disallow the extension of the time duration which addresses time-skew between server and client. This is the more secure option unless you are experiencing challenges with poor time synchronization.

Por otro lado, una vez configurado el MFA, me pedia dos veces el código de Verificación en el prompt de Password y Verificación:

En este caso revisando por internet otros casos similares, google-authenticator asks for verification code twice, se indica que eliminar el fichero /etc/pam.d/sshd, la línea correspondiente a la autentificación con google-authenticator.

Esta línea se hace referencia a incluirla en diferentes pasos de la configuración, pero incluirla en sshd hace que duplique el código de verificación. Poniendo dos códigos deja entrar igualmente, pero se hace algo incomodo.

Últimas notas

Ahora ya me siento mas seguro al tener mi Servidor con MFA, jeje, pero es interesante tenerlo presente para entornos más críticos al mio. Evidentemente.

Realmente con las librerías de Google se hace muy sencilla su configuración y gestión, así que es recomendable su implantación para aquellos entornos productivos que puedan estar expuestos a redes públicas o críticas.

Enjoy!!!