ilcorvo.it

MFA su SSH e XRDP

Scritto da

admin

in

,

Rinforza la tua sicurezza: configura l’MFA con Google Authenticator su Ubuntu 22.04 (SSH e XRDP)

Introduzione

Hai mai pensato a cosa succederebbe se qualcuno riuscisse a mettere le mani sulla tua password? Con l’autenticazione a due fattori (MFA) puoi aggiungere un ulteriore livello di sicurezza ai tuoi accessi, rendendo molto più difficile per gli intrusi entrare nei tuoi server. In questa guida ti mostrerò come configurare Google Authenticator su Ubuntu 22.04 per proteggere gli accessi SSH e XRDP. Non preoccuparti, non è così complicato come sembra!

Cosa ti serve:

  • Un server Ubuntu 22.04: Assicurati di avere accesso root o sudo.
  • Google Authenticator: Installa l’app sul tuo smartphone.
  • Un po’ di pazienza: La configurazione non è difficile, ma richiede qualche minuto.

Installazione di Google Authenticator sul server


Apriamo un terminale e installiamo il pacchetto necessario:

sudo apt install libpam-google-authenticator

Con questo comando, avremo a disposizione lo strumento google-authenticator per generare i codici e configurarli.

Configurazione di SSH
Genera i codici:

google-authenticator

Segui le istruzioni sullo schermo. Ti verrà chiesto se vuoi impostare un periodo di validità per i codici, se vuoi disabilitare la richiesta di un codice se è passato poco tempo dall’ultimo accesso, e così via.

Modifica il file di configurazione di SSH:

sudo vi /etc/ssh/sshd_config

Aggiungi o modifica le seguenti righe:

ChallengeResponseAuthentication yes
AuthenticationMethods publickey,password,google-authenticator

Salva e riavvia il servizio SSH:

sudo systemctl restart ssh

Modifica il file /etc/pam.d/sshd aggiungendo la seguente riga:

auth required pam_google_authenticator.so

Configurazione di XRDP

Installa il pacchetto necessario:

sudo apt install xrdp

Modifica del file /etc/pam.d/xrdp-sesman affinchè contenga le seguenti righe:

auth required pam_google_authenticator.so forward_pass
auth required pam_env.so readenv=1 use_first_pass

N.B. Poichè il server XRDP non gestisce l’inserimento di una seconda password al momento del login, le due righe qui sopra permettono di poter inserire nel campo password la credenziale dell’utente che sta effettuando l’accesso e di seguito il codice generato da Google Authenticator.

Riavvia il servizio XRDP:

sudo systemctl restart xrdp

Configurazione di Google Authenticator sul tuo dispositivo
Apri l’app Google Authenticator sul tuo smartphone e scansiona il codice QR che ti è stato mostrato durante la configurazione di SSH.

Test
Prova ad accedere al tuo server via SSH o XRDP. Ti verrà richiesto di inserire il codice OTP generato da Google Authenticator.

Conclusioni
Congratulazioni! Hai appena reso i tuoi accessi ai server molto più sicuri. Ricorda di:

Mantenere aggiornato Google Authenticator sul tuo dispositivo.
Generare nuovi codici se sospetti che qualcuno possa aver avuto accesso al tuo account.
Valutare altre opzioni di MFA oltre a Google Authenticator, come le chiavi di sicurezza hardware.

Commenti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Altri articoli