Slik legger du til MFA-sikkerhet gjennom din Raspberry Pi-terminal
Raspberry Pi er en populær datamaskin med én brett som har blitt all mani de siste årene. På grunn av den økende populariteten og den vanlige bruken på tvers av nybegynnerkodere og tech-entusiaster, har det blitt et mål for nettkriminelle å gjøre det de liker å gjøre best: cybertyveri. Akkurat som med vanlige PC-enheter som vi beskytter med mange brannmurer og passord, blir det stadig viktigere å beskytte Raspberry Pi-enheten din med lignende mangesidig beskyttelse også.
Flerfaktorautentisering fungerer ved å kombinere to eller flere av følgende for å gi deg tilgang til kontoen eller enheten din. De tre hovedkategoriene å gi tilgang som gir informasjon fra er: noe du vet, noe du har, og noe du er. Den første kategorien kan være et passord eller en PIN-kode som du har satt opp for kontoen eller enheten din. Som et ekstra beskyttelseslag kan det hende du må oppgi noe fra den andre kategorien, for eksempel en systemgenerert pin som sendes til smarttelefonen din eller genereres på en annen enhet du eier. Som et tredje alternativ kan du også innlemme noe fra den tredje kategorien, som består av fysiske nøkler som biometrisk identifikasjon som inkluderer ansiktsgjenkjenning, tommelavtrykk og retinal skanning, avhengig av enhetens evne til å utføre disse skanningene.
For formålet med dette oppsettet vil vi bruke de to vanligste godkjenningsmodusene: ditt angitte passord og et engangstoken generert gjennom smarttelefonen din. Vi integrerer begge trinnene med google og mottar passordet ditt gjennom Googles autentiseringsapplikasjon (som erstatter behovet for å motta SMS-koder på mobiltelefonen din).
Trinn 1: Få Google Authenticator-applikasjonen
Før vi begynner å konfigurere enheten, la oss laste ned og installere google authenticator-appen på smarttelefonen din. Gå inn i Apple App Store, Google Play Store eller den respektive butikken for hvilken enhet du bruker. Last ned google authenticator-applikasjonen og vent til den er ferdig installert. Andre autentiseringsapplikasjoner som Microsofts autentisator kan også brukes, men for vår opplæring vil vi bruke Google autentiseringsapplikasjon.
Trinn 2: Konfigurere SSH-tilkoblinger
Raspberry Pi-enheter fungerer normalt på SSH, og vi vil også jobbe med å konfigurere vår flerfaktorautentisering over SSH. Vi vil opprette to SSH-tilkoblinger for å gjøre dette av følgende grunn: vi vil ikke at du skal bli låst ut av enheten din, og i tilfelle du blir låst ut av en strøm, vil den andre gi deg en ny sjanse til å komme tilbake i Dette er bare et sikkerhetsnett vi setter inn for din skyld: brukeren som eier enheten. Vi vil holde denne sikkerhetsnettstrømmen igjennom gjennom hele installasjonsprosessen til hele oppsettet er fullført, og vi har sørget for at flerfaktorautentiseringen din fungerer som den skal. Hvis du utfører følgende trinn nøye og nøye, bør det ikke være noe problem å få autentiseringen din satt opp.
Start to terminalvinduer og skriv inn følgende kommando i hver. Dette for å sette opp de to strømmer parallelt.
I stedet for brukernavn skriver du inn enhetens brukernavn. I stedet for pi-navn skriver du inn pi-enhetens navn.
Etter å ha trykket på enter, bør du få en velkomstmelding i begge terminalvinduene som også viser enhetens navn og brukernavnet ditt.
Deretter redigerer vi sshd_config-filen. For å gjøre dette, skriv inn følgende kommando i hvert vindu. Husk å gjøre alle trinnene i denne delen i begge vinduene parallelt.
sudo nano / etc / ssh / sshd_config
Rull ned og finn hvor det står: ChallengeResponseAuthentication no
Endre “nei” til “ja” ved å skrive dette på stedet. Lagre endringene dine ved å trykke [Ctrl] + [O] og gå ut av vinduet ved å trykke [Ctrl] + [X]. Igjen, gjør dette for begge vinduene.
Start terminalene på nytt og skriv inn følgende kommando i hver for å starte SSH-demonen på nytt:
Til slutt. Installer Google Authenticator i oppsettet for å integrere systemet ditt med det. For å gjøre dette, skriv inn følgende kommando:
Strømmene dine er nå konfigurert, og du har konfigurert google-autentisatoren din med både enheten og smarttelefonen din frem til dette punktet.
Trinn 3: Integrering av multifaktorautentisering med Google Authenticator
- Start kontoen din og skriv inn følgende kommando: google-authenticator
- Skriv inn “Y” for tidsbaserte tokens
- Strekk ut vinduet ditt for å se hele QR-koden som er generert, og skann den på smarttelefonenheten din. Dette vil tillate deg å koble Raspberry Pi’s autentiseringstjeneste med smarttelefonapplikasjonen.
- Det vil være noen sikkerhetskopikoder som vises under QR-koden. Legg merke til disse eller ta et bilde av dem for å ha dem i reserve i tilfelle du ikke klarer å bekrefte multifaktorautentiseringen din gjennom Google Authenticator-applikasjonen og til slutt trenger en sikkerhetskopikode for å komme inn. Hold disse trygge og ikke miste dem.
- Du blir bedt om med fire spørsmål nå, og her er hvordan du trenger å svare på dem ved å skrive inn enten "Y" for ja eller "N" for nei. (Merk: Spørsmålene nedenfor siteres direkte fra Raspberry Pi digital terminal, slik at du vet nøyaktig hvilke spørsmål du vil møte og hvordan du skal svare på dem.)
- "Vil du at jeg oppdaterer filen" /home/pi/.google_authenticator "?" (y / n): Skriv inn “Y”
- “Vil du ikke tillate flere bruksområder av samme godkjenningstoken? Dette begrenser deg til en pålogging omtrent hvert 30. år, men øker sjansene dine for å legge merke til eller til og med forhindre mann-i-midten-angrep (å / n): ” Skriv inn “Y”
- «Som standard genereres et nytt token hvert 30. sekund av mobilappen. For å kompensere for mulig tidsforskjell mellom klienten og serveren, tillater vi et ekstra token før og etter gjeldende tid. Dette gir en tidsforskjell på opptil 30 sekunder mellom godkjenningsserveren og klienten. Hvis du opplever problemer med dårlig tidssynkronisering, kan du øke vinduet fra standardstørrelsen på 3 tillatte koder (en forrige kode, en nåværende kode, den neste koden) til 17 tillatte koder (de 8 forrige kodene, en nåværende kode, den neste 8 koder). Dette vil tillate en skjevhet på opptil 4 minutter mellom klient og server. Vil du gjøre det? (y / n): ” Skriv inn “N”
- “Hvis datamaskinen du logger deg på ikke er herdet mot forsøk på påloggingsforsøk, kan du aktivere hastighetsbegrensning for godkjenningsmodulen. Som standard begrenser dette angripere til ikke mer enn 3 påloggingsforsøk hvert 30. år. Vil du aktivere hastighetsbegrensning? (y / n): ” Skriv inn “Y”
- Start nå Google Authenticator-applikasjonen på smarttelefonen din og trykk på pluss-ikonet øverst på skjermen. Skann QR-koden som vises på Pi-enheten din for å koble de to enhetene. Du vil nå bli vist med autentiseringskoder døgnet rundt når du trenger dem for å logge på. Du trenger ikke å generere en kode. Du kan ganske enkelt starte applikasjonen og skrive inn den som vises for øyeblikket.
Trinn 4: Konfigurere PAM-godkjenningsmodulen med SSH
Start terminalen og skriv inn følgende kommando: sudo nano /etc/pam.d/sshd
Skriv inn følgende kommando som vist:
Hvis du vil bli bedt om pass-nøkkelen din gjennom Google Authenticator-applikasjonen før du skriver inn passordet ditt, skriver du inn følgende kommando før kommandoen du skrev inn tidligere:
Hvis du vil bli bedt om pass-nøkkelen etter at passordet ditt er skrevet inn, skriver du inn den samme kommandoen, bortsett fra å legge den inn etter forrige # 2FA-kommandosett. Lagre endringene dine ved å trykke [Ctrl] + [O] og gå ut av vinduet ved å trykke [Ctrl] + [X].
Trinn 5: Lukk Parallel SSH Stream
Nå som du er ferdig med å konfigurere multifaktorautentisering, kan du lukke en av parallelle strømmer som vi hadde på gang. For å gjøre dette, skriv inn følgende kommando:
Den andre sikkerhetsnettstrømmen for sikkerhetskopiering kjører fortsatt. Du vil holde dette i gang til du har bekreftet at flerfaktorautentiseringen din fungerer som den skal. For å gjøre dette, start en ny SSH-forbindelse ved å skrive inn:
I stedet for brukernavn skriver du inn enhetens brukernavn. I stedet for pi-navn skriver du inn pi-enhetens navn.
Innloggingsprosedyren vil nå utføres. Skriv inn passordet ditt og skriv deretter inn koden som vises i Google Authenticator-applikasjonen på dette tidspunktet. Vær forsiktig med å gjøre begge trinnene på tretti sekunder. Hvis du klarer å logge inn, kan du gå tilbake og gjenta forrige trinn for å lukke den parallelle sikkerhetsnettstrømmen vi hadde på plass. Hvis du har fulgt alle trinnene riktig, bør du kunne gjenoppta med multifaktorautentisering på Raspberry Pi-enheten din nå.
Avsluttende ord
Som med enhver godkjenningsprosess du setter på plass på en hvilken som helst enhet eller konto, gjør disse tilleggsfaktorene det tryggere enn før, men gjør det ikke helt trygt. Vær forsiktig når du bruker enheten. Vær oppmerksom på potensielle svindel, phishing-angrep og cybertyveri som enheten din kan bli utsatt for. Beskytt den andre enheten din som du har satt opp prosessen med å hente koden på, og hold den også trygg. Du trenger denne enheten hver gang for å komme tilbake til systemet ditt. Oppbevar sikkerhetskopikodene dine på et kjent og trygt sted i tilfelle du noen gang er i en posisjon der du ikke har tilgang til sikkerhetskopien av smarttelefonenheten.