Så här lägger du till MFA-säkerhet genom din Raspberry Pi-terminal

Raspberry Pi är en populär en-kortdator som har blivit allt galen de senaste åren. På grund av dess växande popularitet och vanliga användning bland nybörjarkodare och teknikentusiaster har det blivit ett mål för cyberbrottslingar att göra vad de vill göra bäst: cyberstöld. Precis som med vanliga PC-enheter som vi skyddar med många brandväggar och lösenord blir det allt viktigare att skydda din Raspberry Pi-enhet med liknande mångfacetterat skydd också.

Multifaktorautentisering fungerar genom att kombinera två eller flera av följande för att ge dig åtkomst till ditt konto eller enhet. De tre breda kategorierna för att ge åtkomst som ger information från är: något du vet, något du har och något du är. Den första kategorin kan vara ett lösenord eller en PIN-kod som du har ställt in för ditt konto eller enhet. Som ett extra skyddsskikt kan du behöva tillhandahålla något från den andra kategorin, till exempel ett systemgenererat stift som skickas till din smartphone eller genereras på en annan enhet du äger. Som ett tredje alternativ kan du också införliva något från den tredje kategorin, som består av fysiska nycklar som biometrisk identifiering som inkluderar ansiktsigenkänning, tumavtryck och näthinneskanning beroende på enhetens förmåga att utföra dessa skanningar.

För syftet med denna inställning kommer vi att använda de två vanligaste autentiseringslägena: ditt inställda lösenord och en engångstoken genererad via din smartphone. Vi integrerar båda stegen med google och tar emot ditt lösenord via Googles autentiseringsapplikation (som ersätter behovet av att ta emot SMS-koder på din mobiltelefon).

Steg 1: Skaffa Google Authenticator-applikationen

Innan vi börjar konfigurera din enhet, låt oss ladda ner och installera appen Google Authenticator på din smartphone. Gå in i Apple App Store, Google Play Store eller respektive butik för vilken enhet du använder. Ladda ner appen Google Authenticator och vänta tills installationen är klar. Andra autentiseringsapplikationer som Microsofts autentiserare kan också användas, men för vår handledning kommer vi att använda Googles autentiseringsapplikation.

Steg 2: Konfigurera dina SSH-anslutningar

Raspberry Pi-enheter fungerar normalt på SSH och vi kommer också att arbeta med att konfigurera vår flerfaktorautentisering över SSH. Vi kommer att skapa två SSH-anslutningar för att göra detta av följande anledning: vi vill inte att du låses ut ur din enhet och om du låses ut ur en ström, kommer den andra att ge dig en ny chans att komma in igen Detta är bara ett skyddsnät vi sätter in för din skull: användaren som äger enheten. Vi kommer att hålla det andra säkerhetsnätströmmen igång under hela installationsprocessen tills hela installationen är klar och vi har säkerställt att din multifaktorautentisering fungerar korrekt. Om du utför följande steg eftertänksamt och noggrant, borde det inte vara något problem att få din autentisering konfigurerad.

Starta två terminalfönster och skriv in följande kommando i varje. Detta för att ställa in de två strömmarna parallellt.

I stället för användarnamn skriver du in enhetens användarnamn. I stället för pi-namn skriver du in pi-enhetens namn.

Efter att ha tryckt på enter, bör du få ett välkomstmeddelande i båda terminalfönstren som visar enhetens namn och ditt användarnamn också.

Därefter redigerar vi sshd_config-filen. För att göra detta, skriv in följande kommando i varje fönster. Kom ihåg att utföra alla stegen i detta avsnitt i båda fönstren parallellt.

sudo nano / etc / ssh / sshd_config

Rulla ner och hitta var det står: ChallengeResponseAuthentication no

Ändra "nej" till "ja" genom att skriva detta i stället. Spara dina ändringar genom att trycka på [Ctrl] + [O] och stäng sedan fönstret genom att trycka på [Ctrl] + [X]. Återigen, gör detta för båda fönstren.

Starta om terminalerna och skriv in följande kommando i varje för att starta om SSH-demon:

Slutligen. Installera Google Authenticator i din installation för att integrera ditt system med det. För att göra detta, skriv in följande kommando:

Dina strömmar har nu konfigurerats och du har konfigurerat din google-autentiserare med både din enhet och din smartphone fram till denna punkt.

Steg 3: Integrera din multifaktorautentisering med Google Authenticator

  1. Starta ditt konto och skriv in följande kommando: google-autentiserare
  2. Ange "Y" för tidsbaserade tokens
  3. Sträck ut ditt fönster för att se hela QR-koden som har genererats och skanna den på din smartphone-enhet. Detta gör att du kan para ihop din Raspberry Pi-autentiseringstjänst med din smartphone-applikation.
  4. Det kommer att finnas några säkerhetskopieringskoder som visas under QR-koden. Anteckna dessa eller ta ett foto av dem för att ha dem i reserv om du inte kan verifiera din multifaktorautentisering via Google Authenticator-applikationen och slutligen behöva en säkerhetskopieringskod för att komma in. Håll dessa säkra och inte förlora dem.
  5. Du kommer att få fyra frågor nu och så här behöver du svara på dem genom att ange antingen "Y" för ja eller "N" för nej. (Obs! Frågorna nedan citeras direkt från Raspberry Pi digitala terminal så att du vet exakt vilka frågor du kommer att ställas inför och hur du ska svara på dem.)
    • "Vill du att jag uppdaterar filen" /home/pi/.google_authenticator "?" (y / n): Ange “Y”
    • “Vill du inte tillåta flera användningar av samma autentiseringstoken? Detta begränsar dig till en inloggning ungefär var 30: e år men ökar dina chanser att lägga märke till eller till och med förhindra man-i-mitten-attacker (y / n): ” Ange “Y”
    • ”Som standard genereras en ny token var 30: e sekund av mobilappen. För att kompensera för eventuell tidsförskjutning mellan klienten och servern tillåter vi en extra token före och efter den aktuella tiden. Detta möjliggör en tidsförskjutning på upp till 30 sekunder mellan autentiseringsservern och klienten. Om du har problem med dålig tidssynkronisering kan du öka fönstret från standardstorleken på 3 tillåtna koder (en tidigare kod, en aktuell kod, nästa kod) till 17 tillåtna koder (de 8 föregående koder, en aktuell kod, nästa 8 koder). Detta möjliggör en tidsförskjutning på upp till 4 minuter mellan klient och server. Vill du göra det? (y / n): ” Ange "N"
    • “Om datorn som du loggar in inte är hård mot inloggningsförsök med brute-force, kan du aktivera hastighetsbegränsning för autentiseringsmodulen. Som standard begränsar detta angripare till högst tre inloggningsförsök var 30: e. Vill du aktivera hastighetsbegränsning? (y / n): ” Ange “Y”
  6. Starta nu appen Google Authenticator på din smartphone och tryck på plusikonen högst upp på skärmen. Skanna QR-koden som visas på din Pi-enhet för att para ihop de två enheterna. Du kommer nu att visas med autentiseringskoder dygnet runt för varje gång du behöver dem för att logga in. Du behöver inte skapa en kod. Du kan helt enkelt starta applikationen och skriva in den som visas just nu.

Steg 4: Konfigurera PAM-autentiseringsmodulen med din SSH

Starta din terminal och skriv in följande kommando: sudo nano /etc/pam.d/sshd

Skriv följande kommando som visas:

Om du vill bli ombedd att ange din passnyckel via Google Authenticator-applikationen innan du anger ditt lösenord, skriv in följande kommando innan kommandot skrivs in tidigare:

Om du vill bli ombedd om passnyckeln efter att ditt lösenord har angetts skriver du in samma kommando, förutom att sätta in det efter föregående # 2FA-kommandouppsättning. Spara dina ändringar genom att trycka på [Ctrl] + [O] och stäng sedan fönstret genom att trycka på [Ctrl] + [X].

Steg 5: Stäng Parallel SSH Stream

Nu när du har konfigurerat multifaktorautentiseringen kan du stänga en av de parallella strömmarna som vi hade. För att göra detta, skriv in följande kommando:

Din andra säkerhetsnätström för säkerhetskopiering körs fortfarande. Du kommer att hålla det igång tills du har verifierat att din multifaktorautentisering fungerar korrekt. För att göra detta, starta en ny SSH-anslutning genom att skriva in:

I stället för användarnamn skriver du in enhetens användarnamn. I stället för pi-namn skriver du in pi-enhetens namn.

Inloggningsproceduren genomförs nu. Skriv in ditt lösenord och ange sedan koden som visas i ditt Google Authenticator-program just nu. Var försiktig med att göra båda stegen på trettio sekunder. Om du kan logga in framgångsrikt kan du gå in igen och upprepa föregående steg för att stänga den parallella säkerhetsnätströmmen som vi hade på plats. Om du har följt alla stegen korrekt bör du kunna återuppta med multifaktorautentisering på din Raspberry Pi-enhet nu.

Slutord

Som med alla autentiseringsprocesser du gör på en enhet eller konto gör dessa ytterligare faktorer det säkrare än tidigare men gör det inte helt säkert. Var försiktig när du använder enheten. Var uppmärksam på potentiella bedrägerier, nätfiskeattacker och cyberstöld som din enhet kan bli föremål för. Skydda din andra enhet som du har ställt in kodhämtningsprocessen på och håll den också säker. Du behöver den här enheten varje gång för att komma tillbaka till ditt system. Förvara dina säkerhetskopieringskoder på en känd och säker plats om du någonsin befinner dig i en position där du inte har tillgång till din säkerhetskopierade smarttelefonenhet.

Facebook Twitter Google Plus Pinterest