La doble autenticación se ha convertido en una buena forma de garantizar que solo ciertos usuarios, o solo un usuario, pueda acceder a diferentes tipos de servicios; como todos sabemos la utilización de SSH hace que la manipulación de un servidor sea mucho más segura debido a los algoritmos de encriptación que este protocolo utiliza, sin embargo la autenticación al mismo es un tema que debería preocuparnos a todos los que administramos cualquier servidor remoto.

En este artículo les describiré como realizar una doble autenticación a un servidor SSH utilizando el codigo de google-authenticator.

Lo primero que debemos tener es un servidor con SSH

posteriormente instalaremos el google-authenticator con el siguiente comando.

apt-get install google-authenticator 

 

al tenerlo instalado procederemos a invocar dicho codigo

$google-authenticator

OJO: esto no debe hacerse como Root (#), deberá hacerse con el usuario sin privilegios del sistema operativo, recordemos que por defecto un servidor no tiene habilitado el login de Root.

Lo siguiente será descargar el google-authenticator a nuestro dispositivo móvil, es funcional para android Y iphone, no lo he probado en bb. 

Cuando invoquemos el comando google-authenticator confirmaremos con "Y" todas la preguntas, la primera nos desplegará un codigo QR que escanearemos con nuestro dispositivo móvil, así mismo se recomienda guardar las credenciales de emergencia que nos regresa el código de google, esto es en caso no tengamos conexión a internet, o por alguna razón no podamos acceder a los códigos del dispositivo móvil

Ahora solo resta dictarle algunos parámetros a nuestro servidor para que funcione con esta doble autenticación

editaremos el archivo /etc/pam.d/sshd y le añadiremos en la primera línea

auth required pam_google_authenticator.so 

Por último editamos el archivo  /etc/ssh/sshd_config y cambiaremos

ChallengeResponseAuthentication no por ChallengeResponseAuthentication yes

Al tener todo configurado lo siguiente será ingresar desde una consola al servidor SSH y al momento de realizar la conexión ingresar el código que nuestro dispositivo móvil muestre previo a ingresar la contraseña del servidor.

Espero que les sea de utilidad y que puedan implementarlo en sus servidores.

Saludos.

 

 

Como es muy sabido, este cliente de mensajería que vino a sustituir a los SMS por su versatilidad de uso, prestaciones e interactividad con el usuario entre otras características, esta instalado en prácticamente cualquier smartphone, sin embargo todos usamos esta red de mensajería sin saber como viajan nuestros datos a través de ella, en mi caso particular no envío mensajes con números de tarjeta de crédito, celulares, o cualquier dato comprometedor, sin embargo estoy seguro que alguien un poco menos paranoico con la seguridad ha de enviar prácticamente cualquier tipo de información.

Encontré un artículo bastante interesante que pone a prueba a esta app y que hasta cierto punto creo que vale la pena experimentar para saber si es posible o no robarse una cuenta de whatsapp. En breve dejaré un documento donde se explica como funciona el protocolo xmpp utlizado por whatsapp para establecer comunicación entre usuarios y las vulnerabilidades que tiene la encriptación de los mensajes y en sí de la app.

El Artículo es el siguiente, cito la fuente al pie

La seguridad no ha sido nunca uno de los puntos fuertes de WhatsApp. Y es que la aplicación de mensajería ha ido creándose paso a paso, acogiendo nuevas características y construyéndose durante el camino. Algo que no le ha permitido contar con unas barreras de seguridad estables que la hagan inexpugnable ante el robo de información, los ataques de hackers o la posibilidad de trastocar sus contenidos, siempre y cuando se tengan las herramientas necesarias y los conocimientos precisos. Sin embargo, la aplicación ha salido al paso aplicando parches y nuevas barreras, como la encriptación de los mensajes. Ahora se descubre una nueva forma de robar la cuenta de WhatsApp a otro usuario que pondrá los pelos de punta a cualquiera por su sencillez.

Se trata de una vulnerabilidad con la que una persona puede robarle a otra la cuenta de WhatsApp y usurpar su persona, aunque no revisar todas las conversaciones. Un problema descubierto por el experto en seguridad Chema Alonso, bien conocido por encontrar fallos en sistemas de seguridad de diferentes servicios. En este caso el proceso sólo necesita disponer del móvil de la víctima durante al menos cinco minutos, además de conocer su número de teléfono, sin importar que el terminal esté bloqueado.

whatsapp robar cuenta

La idea es realmente sencilla. Basta con tener el móvil de la víctima a mano y otro terminal donde se acabe de instalar WhatsApp. A la hora de activar la aplicación sólo hay que introducir el número de teléfono de la víctima. Sin embargo, en vez de corroborar el dato con el clásico mensaje SMS con el código de seguridad, hay que solicitar la llamada. De esta forma el servicio de WhatsApp llama al número de la víctima para dictar a viva voz el código de seguridad que hay que introducir en el nuevo móvil.

Es aquí donde está el mayor problema, ya que ni iPhone ni Android bloquean el terminal cuando se recibe una llamada. Así, cualquiera puede descolgar el móvil y escuchar dicho código, introduciéndolo en el otro móvil para tener acceso a sus conversaciones en grupo, a sus contactos y a otros chats. Claro que el historial de mensajes no está disponible, por lo que no se podrán ver los mensajes antiguos, ni repasar viejas conversaciones donde cotillear los contenidos, mensajes, fotos y vídeos. Aunque las posibilidades de hacer mucho mal siguen ahí.

whatsapp robar cuenta

Pero lo peor es que WhatsApp cierra la cuenta del usuario en su propio terminal al activarla en el otro. Un periodo de 30 minutos durante los cuales la víctima no puede hacer otra cosa más que esperar. Y no sólo eso. Si el atacante sigue insistiendo tras ese periodo, el intervalo de espera va creciendo hasta las cuatro horas, impidiendo que la víctima pueda retomar sus chats. Además, cuando lo haga, no podrá ver qué es lo que el atacante ha dicho en su nombre.

Al parecer, la única posibilidad para impedir que esto suceda es bloqueando el número de teléfono que WhatsApp utiliza para realizar la llamada con el código de confirmación. Algo que impedirá al atacante utilizar el sistema a través de su móvil.

Por ello, conviene no perder de vista el terminal en ningún momento. Y es que sólo cinco minutos son necesarios para poder solicitar la activación mediante una llamada de teléfono. Claro que para ello siempre hay que tener acceso al terminal de la víctima. Una vulneración que el experto Chema Alonsoya se ha encargado de notificar a WhatsApp, y que habrá que esperar para ver cómo solventan.

 

Fuente: tuexpertoapps.com

 

Our website is protected by DMC Firewall!