Actualizaciones de seguridad automáticas en Ubuntu

En este caso vamos a explicar el proceso para que Ubuntu se actualice de forma automática a diario sin que nosotros recibamos notificación por ello. Para ello simplemente debemos abrir un terminal y teclear: sudo dpkg-reconfigure -plow unattended-upgrades Se nos abrirá una nueva ventana que nos preguntará si de verdad queremos habilitar esta configuración para que todas las actualizaciones de seguridad se instalen de forma automática en nuestro sistema. Indicamos que “Sí” y el programa se encargará automáticamente de realizar los cambios correspondientes. Con esto ya tendremos nuestro Ubuntu configurado para descargar e instalar automáticamente las actualizaciones de seguridad.

Instalar Authy en ssh (Autenticación en dos pasos)

Pasos para activar la autenticación de dos factores en SSH empleando Authy 1. Crear una cuenta en Authy: El primer paso es crear una cuenta en el portal de Authy. Al estar creada la cuenta se enviará un correo electrónico para asociarla y validarla. Posteriormente, al crear la cuenta se requiere ingresar al portal de Desarrolladores y dar clic en el enlace “New Application“: Rellenar los datos que se piden, en donde se vincula el uso de esta API a un número de teléfono y usuario en particular (los datos del paso 2): Al finalizar la creación de la aplicación se desplegará una ventana con el código de la API que se empleará en pasos posteriores. 2. Instalar la aplicación de Authy en el teléfono móvil: Para implementar la autenticación de dos factores, se empleará un teléfono móvil, ya sea para obtener el código de autenticación (OTP) a través de una aplicación o vía SMS. Siendo así, se necesita instalar la aplicación de Authy en el teléfono móvil asociado con los datos del paso 1. 3. Descargar el código e instalarlo en el servidor: En mi caso, instalaré Authy en la Raspberry Pi, aunque se puede instalar en cualquier distribución de GNU/Linux (Ubuntu, Debian, RedHat, Fedora Core y SuSE) o Unix: 1 root@raspberrypi ~ #curl -O 'https://raw.githubusercontent.com/authy/authy-ssh/master/authy-ssh' Después de descargado el paquete, se procede con su instalación: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 root@raspberrypi / # bash authy-ssh install /usr/local/bin Copying authy-ssh to /usr/local/bin/authy-ssh... Setting up permissions... Enter the Authy API key: <API> Default action when api.authy.com cannot be contacted:     1. Disable two factor authentication until api.authy.com is back   2. Don't allow logins until api.authy.com is back   type 1 or 2 to select the option: 1 Generating initial config on /usr/local/bin/authy-ssh.conf... Adding 'ForceCommand /usr/local/bin/authy-ssh login' to /etc/ssh/sshd_config       MAKE SURE YOU DO NOT MOVE/REMOVE /usr/local/bin/authy-ssh BEFORE UNINSTALLING AUTHY SSH   To enable two-factor authentication on your account type the following command:      sudo /usr/local/bin/authy-ssh enable root <your-email> <your-numeric-country-code> <your-cellphone>    Example: sudo authy-ssh enable root myuser@example.com 1 401-390-9987   To enable two-factor authentication on user account type:      sudo /usr/local/bin/authy-ssh enable <local-username> <user-email> <user-cellphone-country-code> <user-cellphone>   To uninstall Authy SSH type:      sudo /usr/local/bin/authy-ssh uninstall         Restart the SSH server to apply changes   root@raspberrypi / # Este script preguntará dos cosas: La API a ser usada, cuyo número debió haber sido generado en el paso 1. La acción en el caso que el servicio de Authy no pueda ser contactado. En este caso, la recomendación es emplear la opción 1 (fail open), en la cual se regresa a la autenticación con un único factor. Sin embargo, dependiendo de las necesidades y de la seguridad del servicio se puede analizar la opción 2 en la cual no se permiten autenticaciones hasta que el servicio pueda ser contactado (fail close). Durante este proceso se modifica la directiva ForceCommand del fichero de configuración de SSH /etc/ssh/sshd_config, indicándole que cuando se requiera una autenticación se ejecute la subrutina de Authy: 1 2 root@raspberrypi / # more /etc/ssh/sshd_config | grep Force ForceCommand /usr/local/bin/authy-ssh login Para que los cambios sean aplicados, se requiere reiniciar el servicio de SSH: 1 2 root@raspberrypi / # service ssh restart [ ok ] Restarting OpenBSD Secure Shell server: sshd. 4. Configurar una cuenta para que use autenticación de dos factores: La autenticación de dos factores estará disponible en el sistema pero se requiere indicarle a Authy de forma explícita qué usuarios requerirán este control para su autenticación a través del siguiente comando: 1 root@raspberrypi / #/usr/local/bin/authy-ssh enable <cuenta> <email> <código de pais> <número de teléfono> 5. Probar que todo vaya bien: En este punto, desde la cuenta del usuario que se vinculó al servicio se ejecuta el comando: 1 2 3 usuario@raspberrypi ~ $ authy-ssh test Authy Token (type 'sms' to request a SMS token): 9596428 Good job! You've securely logged in with Authy. Se debe ingresar el código que aparece en la pantalla de la aplicación de Authy: Si todo sale bien se debería recibir el mensaje “Good job! You’ve securely logged in with Authy“. Si no, siempre se puede pedir un código de acceso mediante SMS, que será enviado al número de teléfono registrado. 5. Realizar una autenticación empleando el OTP de Authy: Finalmente, se ingresa vía SSH con la cuenta configurada para validar su funcionamiento: 1 2 3 4 5 login as: usuario servers's password: Authy Token (type 'sms' to request a SMS token): 3418012 Good job! You've securely logged in with Authy. usuario@raspberrypi ~ $