Qué hacer cuando 2FA no le permite ingresar a sus servidores Linux


Si los inicios de sesión de autenticación de dos factores en sus servidores Linux le están dando problemas, Jack Wallen tiene la solución para usted.

2fa.jpg

Imagen: iStockphoto / Jirsak

Recientemente, tuve un incidente en el que un servidor Linux habilitado para autenticación de dos factores no me permitía ingresar a través de SSH. Afortunadamente, tenía acceso físico al servidor, por lo que no fue un desastre full. Si no hubiera podido iniciar sesión en la máquina en el sitio, habría tenido que contar con alguien en las instalaciones para que se ocupara de la situación. En algunos casos, eso no funcionaría.

VER: 5 distribuciones de servidor Linux que debería usar (TechRepublic Top quality)

No me tomó mucho tiempo descubrir cuál era el problema, y ​​es un problema que probablemente sea más desenfrenado de lo que piensas. Una vez que resolví el problema, todo estaba listo y pude volver a iniciar sesión a través de SSH.

El problema, como ve, es cuestión de tiempo. O, en el caso de este servidor, en el momento equivocado. Los códigos 2FA son sensibles al tiempo, por lo que dependen del servidor y la aplicación que está utilizando para generar los códigos sincronizados con respecto al tiempo. Si el servidor o el dispositivo muestra la hora incorrecta, es muy possible que 2FA no le permita el acceso. La mayoría de las veces, el problema radica en el lado del servidor.

Con ese fin, ¿qué haces? Es muy sencillo. Deja que te enseñe.

Qué necesitará: Lo único que necesita para hacer esta corrección es un usuario con privilegios de sudo. Eso es todo, corrijamos la hora de ese servidor.

Cómo configurar la zona horaria en un servidor Linux

Aquí es donde radica el problema más común. A menos que establezca la zona horaria correctamente durante la instalación del sistema operativo, es possible que sea incorrecta. Como lo arreglas? Abra una terminal en su servidor Linux y emita el comando:

timedatectl

La salida del comando anterior no solo enumerará la zona horaria configurada de la máquina, sino también la hora community, la hora universal, la hora RTC, si el reloj del sistema está sincronizado y si el servicio NTP está activo.

Lo primero que debemos hacer es corregir la zona horaria (si es incorrecta). Para hacer eso, debe saber cómo el sistema muestra las zonas horarias. Para eso, emita el comando:

timedatectl record-timezones

Busque en la salida para encontrar su zona horaria. Aparecerá como:

Region/Condition/Town

Si un estado solo tiene una única zona horaria, aparecerá como:

Nation/Point out

Una vez que conozca su zona horaria completa, puede configurarla con el comando:

sudo timedatectl established-timezone TIMEZONE

Donde TIMEZONE es su zona horaria completa.

Cómo configurar la hora en un servidor Linux

Su mejor opción para configurar la hora es usar NTP, ya que esto mantendrá automáticamente su hora sincronizada. La forma de hacerlo dependerá de la distribución que utilice para sus servidores. Para servidores basados ​​en RHEL (como AlmaLinux y Rocky Linux), instale chrony con el comando:

sudo dnf put in chrony -y

Para un servidor basado en Ubuntu, instale ntp con el comando:

sudo apt-get set up ntp -y

Habilite Chrony con los comandos:

sudo systemctl start off chronyd
sudo systemctl help chronyd

Habilite ntp con los comandos:

sudo systemctl start out ntp
sudo systemctl permit ntp

Dale al sistema aproximadamente un minuto para sincronizarse, y tu hora debería ser correcta (compruébalo con el comando de fecha). Ahora debería poder iniciar sesión en esos servidores con 2FA.

Con suerte, esto resolvió sus problemas de inicio de sesión SSH / 2FA. Debería, ya que probablemente el 90% de los problemas de inicio de sesión de 2FA se centran en relojes desincronizados en el extremo del servidor. Y aunque su reloj podría haber sido correcto cuando configuró 2FA por primera vez, si no está usando un demonio de sincronización automática de tiempo y su zona horaria period incorrecta, ese servidor sufrirá una desviación de tiempo y, finalmente, 2FA no le permitirá ingresar.

Ver también



Enlace a la noticia unique