Autenticação TOTP + Radius/Tacacs no Debian

Introdução

A administração remota de servidores GNU/Linux é algo que precisamos estar sempre atentos com a segurança. Filtros de pacotes para bloquear e/ou liberar acessos, ajustes para serviços não ficarem expostos sem necessidade, uso de IPs privados quando possível, aplicar atualizações quando disponíveis, monitoramento dos logs e file system são coisas básicas para todo sysadmin. Boa parte destas tarefas necessitam de acesso remoto aos servidores via SSH e esse serviço precisa ser bem cuidado para que seu servidor não seja comprometido. Outro fator importante é quando administra diversos servidores em uma empresa juntamente com outros sysadmins e em algum momento alguém é desligado da empresa ou entrou de férias. Imagina ter que entrar em cada servidor para remover ou bloquear os acessos. Imagina fazer isso com 100, 500, 1000 VMs. Neste artigo iremos configurar um servidor Debian para autenticar via Radius ou Tacacs+ e ainda usar 2FA com Google Authenticator. O Radius e o Tacacs+ darão controle para administração centralizada da autenticação dos usuários e o Google Authenticator adiciona uma camada de segurança no acesso SSH.

Pré-requisitos

Para que nosso ambiente funcione precisaremos:

• Um servidor Radius ou Tacacs+ já em produção. Melhor ainda se estiverem em HA (High Availability), pois como estamos lidando com acessos críticos de equipamentos e servidores, precisamos garantir que em caso de falha no autenticador principal, um secundário assuma essa função e a operação não seja impactada.
• O servidor precisar ter acesso sainte para a Internet, pode ser através de NAT. Se faz necessário para instalação dos pacotes e download do projeto pam_tacplus via Github caso use autenticação via Tacacs+.
• Os comandos aqui serão executados em um Debian 13 (Trixie) mas poderão ser adaptados para serem executados em outras distribuições GNU/Linux.