ilcorvo.it

Categoria: Linux

  • MFA su SSH e XRDP

    MFA su SSH e XRDP

    Rinforza la tua sicurezza: configura l’MFA con Google Authenticator su Ubuntu 22.04 (SSH e XRDP)

    Introduzione

    Hai mai pensato a cosa succederebbe se qualcuno riuscisse a mettere le mani sulla tua password? Con l’autenticazione a due fattori (MFA) puoi aggiungere un ulteriore livello di sicurezza ai tuoi accessi, rendendo molto più difficile per gli intrusi entrare nei tuoi server. In questa guida ti mostrerò come configurare Google Authenticator su Ubuntu 22.04 per proteggere gli accessi SSH e XRDP. Non preoccuparti, non è così complicato come sembra!

    Cosa ti serve:

    • Un server Ubuntu 22.04: Assicurati di avere accesso root o sudo.
    • Google Authenticator: Installa l’app sul tuo smartphone.
    • Un po’ di pazienza: La configurazione non è difficile, ma richiede qualche minuto.

    Installazione di Google Authenticator sul server


    Apriamo un terminale e installiamo il pacchetto necessario:

    sudo apt install libpam-google-authenticator

    Con questo comando, avremo a disposizione lo strumento google-authenticator per generare i codici e configurarli.

    Configurazione di SSH
    Genera i codici:

    google-authenticator

    Segui le istruzioni sullo schermo. Ti verrà chiesto se vuoi impostare un periodo di validità per i codici, se vuoi disabilitare la richiesta di un codice se è passato poco tempo dall’ultimo accesso, e così via.

    Modifica il file di configurazione di SSH:

    sudo vi /etc/ssh/sshd_config

    Aggiungi o modifica le seguenti righe:

    ChallengeResponseAuthentication yes
    AuthenticationMethods publickey,password,google-authenticator

    Salva e riavvia il servizio SSH:

    sudo systemctl restart ssh

    Modifica il file /etc/pam.d/sshd aggiungendo la seguente riga:

    auth required pam_google_authenticator.so

    Configurazione di XRDP

    Installa il pacchetto necessario:

    sudo apt install xrdp

    Modifica del file /etc/pam.d/xrdp-sesman affinchè contenga le seguenti righe:

    auth required pam_google_authenticator.so forward_pass
    auth required pam_env.so readenv=1 use_first_pass

    N.B. Poichè il server XRDP non gestisce l’inserimento di una seconda password al momento del login, le due righe qui sopra permettono di poter inserire nel campo password la credenziale dell’utente che sta effettuando l’accesso e di seguito il codice generato da Google Authenticator.

    Riavvia il servizio XRDP:

    sudo systemctl restart xrdp

    Configurazione di Google Authenticator sul tuo dispositivo
    Apri l’app Google Authenticator sul tuo smartphone e scansiona il codice QR che ti è stato mostrato durante la configurazione di SSH.

    Test
    Prova ad accedere al tuo server via SSH o XRDP. Ti verrà richiesto di inserire il codice OTP generato da Google Authenticator.

    Conclusioni
    Congratulazioni! Hai appena reso i tuoi accessi ai server molto più sicuri. Ricorda di:

    Mantenere aggiornato Google Authenticator sul tuo dispositivo.
    Generare nuovi codici se sospetti che qualcuno possa aver avuto accesso al tuo account.
    Valutare altre opzioni di MFA oltre a Google Authenticator, come le chiavi di sicurezza hardware.