Kuidas lisada MFA turvalisust oma Raspberry Pi terminali kaudu

Arvamused

Raspberry Pi on populaarne üheplaadiline arvuti, millest on viimastel aastatel saanud kogu hullus. Tänu oma kasvavale populaarsusele ja levinud kasutusele algajate kodeerijate ja tehnikahuviliste seas on küberkurjategijate sihtmärgiks olnud teha seda, mis neile kõige paremini meeldib: kübervargused. Nii nagu tavaliste arvutiseadmete puhul, mida me kaitseme arvukate tulemüüride ja paroolidega, on üha olulisem kaitsta oma Raspberry Pi seadet ka sarnase mitmetahulise kaitsega.



Vaarika Pi

Mitmeteguriline autentimine toimib kahe või enama järgmise ühendamise abil, et anda teile juurdepääs oma kontole või seadmele. Kolm juurdepääsu kategooriat, mille kaudu juurdepääsu võimaldatakse, on järgmised: miski, mida teate, miski on ja miski olete. Esimene kategooria võib olla parool või PIN-kood, mille olete oma konto või seadme jaoks seadistanud. Lisakaitsekihina peate võib-olla esitama midagi teisest kategooriast, näiteks süsteemi loodud pin, mis saadetakse teie nutitelefoni või genereeritakse mõnes muus teile kuuluvas seadmes. Kolmanda alternatiivina võite lisada ka midagi kolmandast kategooriast, mis koosneb füüsilistest võtmetest, näiteks biomeetriline identifitseerimine, mis hõlmab näotuvastust, sõrmejälge ja võrkkesta skannimist, sõltuvalt teie seadme võimest neid skaneerida.



Selle seadistamise jaoks kasutame kaht kõige tavalisemat autentimisrežiimi: teie määratud parooli ja teie nutitelefoni kaudu loodud ühekordse märgi. Integreerime mõlemad toimingud Google'iga ja saame teie parooli Google'i autentimisrakenduse kaudu (mis asendab SMS-koodide vastuvõtmise vajadust teie mobiiltelefoni kaudu).



1. samm: hankige rakendus Google Authenticator

Google Authenticatori rakendus Google Play poes.



Enne kui alustame teie seadme seadistamist, laadime alla ja installime nutitelefoni Google'i autentijarakenduse. Minge Apple'i rakenduste poodi, Google Play poodi või kasutatava seadme vastavasse poodi. Laadige alla Google'i autentimisrakendus ja oodake, kuni see installitakse. Kasutada võib ka muid autentimisrakendusi, näiteks Microsofti autentijat, kuid meie õpetuse jaoks kasutame Google'i autentimisrakendust.

2. samm: SSH-ühenduste seadistamine

Raspberry Pi seadmed töötavad tavaliselt SSH-l ja töötame ka oma mitmetegurilise autentimise konfigureerimisel SSH-i kaudu. Loome selleks kaks SSH-ühendust järgmisel põhjusel: me ei taha, et teid oma seadmest lukustataks ja kui te lukustate ühe voo välja, võimaldab teine ​​teil veel ühe võimaluse uuesti sisse pääseda. See on lihtsalt turvavõrk, mille paneme teie huvides: seadme omanik. Hoiame seda turvavõrgu teist voogu kogu seadistamisprotsessi vältel, kuni kogu seadistamine on lõpule jõudnud, ja oleme taganud, et teie mitmeteguriline autentimine töötab korralikult. Kui teete järgmised sammud läbimõeldult ja hoolikalt, ei tohiks teie autentimise seadistamisel olla mingeid probleeme.

Vaarika Pi liides.



administraator keelas lukustuskuva

Käivitage kaks terminaliakent ja sisestage mõlemasse järgmine käsk. Selle eesmärk on seadistada kaks voogu paralleelselt.

ssh kasutajanimi@piname.local

Sisestage kasutajanime asemel oma seadme kasutajanimi. Sisestage pi nime asemel oma pi seadme nimi.

parim 1080ti

Pärast sisestusklahvi vajutamist peaksite saama mõlemas terminaliaknas tervitusteate, kus kuvatakse ka teie seadme nimi ja kasutajanimi.

Järgmisena muudame faili sshd_config. Selleks tippige igas aknas järgmine käsk. Ärge unustage teha kõik selle jaotise toimingud mõlemas aknas paralleelselt.

sudo nano / etc / ssh / sshd_config

Kerige alla ja leidke koht, kus on kirjas: ChallengeResponseAutentification nr

Muutke „ei“ jaatavaks, sisestades selle oma kohale. Salvestage muudatused, vajutades [Ctrl] + [O] ja seejärel väljuge aknast, vajutades [Ctrl] + [X]. Jällegi tehke seda mõlema akna jaoks.

SSH deemoni taaskäivitamiseks taaskäivitage terminalid ja sisestage mõlemas järgmine käsk:

sudo systemctl taaskäivitage ssh

Viimaseks. Süsteemi integreerimiseks installige oma seadistusse Google Authenticator. Selleks tippige järgmine käsk:

sudo apt-get install libpam-google-authentator

Teie voogud on nüüd seadistatud ja olete kuni selle hetkeni seadistanud oma seadme ja nutitelefoniga oma Google'i autentija.

3. samm: integreerige oma mitmeteguriline autentimine Google Authenticatoriga

  1. Käivitage oma konto ja tippige järgmine käsk: google-autentija
  2. Sisestage ajapõhiste märkide jaoks 'Y'
  3. Sirvige oma akent välja, et näha kogu loodud QR-koodi ja skannige see oma nutitelefonis. See võimaldab teil oma Raspberry Pi autentimisteenuse oma nutitelefoni rakendusega siduda.
  4. QR-koodi all kuvatakse mõned varukoodid. Märkige need üles või tehke neist foto, et need oleksid reserveeritud, kui te ei saa oma mitmetegurilist autentimist Google Authenticatori rakenduse kaudu kontrollida ja vajate sissepääsuks varukoodi. Hoidke neid turvaliselt ja ärge kaotada.
  5. Teil palutakse nüüd neli küsimust ja siin on, kuidas peate neile vastama, sisestades kas „Y” jah või „N” ei. (Märkus. Allpool olevad küsimused on tsiteeritud otse Raspberry Pi digitaalsest terminalist, et teaksite täpselt, milliste küsimustega peate silmitsi seisma ja kuidas neile vastata.)

    Google Authenticatori nutitelefoni rakendus iOS-is. Kontod on turvakaalutlustel pimendatud ning ka turvakoodi numbreid on segatud ja muudetud.

    • 'Kas soovite, et värskendaksin teie faili' /home/pi/.google_authenticator '?' (jah / ei): Sisestage 'Y'
    • 'Kas soovite keelata sama autentimismärgi mitu kasutamist? See piirab teid ühe sisselogimisega umbes iga 30ndate järel, kuid suurendab teie võimalusi märgata või isegi takistada mehe keskel rünnakuid (jah / ei): ' Sisestage 'Y'
    • „Vaikimisi genereeritakse mobiilirakenduse kaudu iga 30 sekundi järel uus märk. Kliendi ja serveri vahelise võimaliku ajanihkimise kompenseerimiseks lubame enne ja pärast praegust kellaaega lisamärgi. See võimaldab autentimisserveri ja kliendi vahel aega nihkuda kuni 30 sekundit. Kui teil on probleeme kehva aja sünkroonimisega, saate akna vaikimisi 3 lubatud koodist (üks eelmine kood, üks praegune kood ja järgmine kood) suurendada 17 lubatud koodiks (8 eelmist koodi, üks praegune kood, järgmised 8 koodi). See võimaldab kliendi ja serveri vahel ajavigastust kuni 4 minutit. Kas soovite seda teha? (jah / ei): ' Sisestage 'N'
    • 'Kui arvuti, kuhu sisse logite, pole jõhkra sisselogimise katse vastu karastatud, saate lubada autentimismooduli kiiruse piiramise. Vaikimisi piirab see ründajaid mitte rohkem kui kolme sisselogimiskatsega iga 30s järel. Kas soovite lubada määra piiramise? (jah / ei): ' Sisestage 'Y'
  6. Nüüd käivitage nutitelefonis rakendus Google Authenticator ja vajutage ekraani ülaosas plussmärgi ikooni. Kahe seadme sidumiseks skannige oma Pi-seadmes kuvatav QR-kood. Nüüd kuvatakse teid autentimiskoodidega ööpäevaringselt alati, kui vajate sisselogimiseks. Te ei pea koodi genereerima. Võite lihtsalt käivitada rakenduse ja sisestada sellel hetkel kuvatava.

4. samm: PAM-i autentimismooduli konfigureerimine SSH-ga

Käivitage terminal ja tippige järgmine käsk: sudo nano /etc/pam.d/sshd

kuidas printida pilte

Sisestage järgmine käsk nagu näidatud:

# 2FAFA nõutakse pam_google_authenticator.so

Kui soovite, et enne parooli sisestamist küsitaks teie rakendusvõtit rakenduse Google Authenticator kaudu, sisestage enne käsku sisestanud järgmine käsk:

@ lisage ühine autor

Kui soovite, et pärast parooli sisestamist küsitakse pääsuklahvi, tippige see sama käsk sisse, välja arvatud juhul, kui sisestate selle pärast eelmist # 2FA käsku. Salvestage muudatused, vajutades [Ctrl] + [O] ja seejärel väljuge aknast, vajutades [Ctrl] + [X].

kuidas profiile xbox 360 -st kustutada

5. samm: sulgege paralleelne SSH voog

Nüüd, kui olete mitmetegurilise autentimise seadistamise lõpetanud, saate ühe meie paralleelsest voost sulgeda. Selleks tippige järgmine käsk:

sudo systemctl taaskäivitage ssh

Teie teine ​​varuvõrgu turvavoog töötab endiselt. Hoiate seda töös seni, kuni olete veendunud, et teie mitmeteguriline autentimine töötab korralikult. Selleks käivitage uus SSH-ühendus, tippides sisse:

ssh kasutajanimi@piname.local

Sisestage kasutajanime asemel oma seadme kasutajanimi. Sisestage pi nime asemel oma pi seadme nimi.

Nüüd viiakse läbi sisselogimisprotseduur. Sisestage oma parool ja sisestage siis oma Google Authenticatori rakenduses kuvatav kood. Olge ettevaatlik, et mõlemad sammud tehtaks kolmekümne sekundiga. Kui teil õnnestub edukalt sisse logida, võite minna tagasi ja korrata eelmist sammu, et sulgeda paralleelne turvavõrgu voog, mis meil oli. Kui olete kõiki samme õigesti järginud, peaksite nüüd oma Raspberry Pi seadmes saama jätkata mitme teguriga autentimisega.

Lõppsõnad

Nagu iga autentimisprotsessi puhul, mille olete seadmes või kontol kasutanud, muudavad need täiendavad tegurid selle senisest turvalisemaks, kuid ei tee seda absoluutselt ohutuks. Olge seadme kasutamisel ettevaatlik. Olge tähelepanelik võimalike petuskeemide, andmepüügirünnakute ja kübervarguste suhtes, mis võivad teie seadmele alluda. Kaitske oma teist seadet, milles olete koodiotsingu sisse seadnud, ja hoidke seda ka turvalisena. Süsteemi tagasi pöördumiseks vajate seda seadet iga kord. Hoidke varukoode teada ja turvalises kohas, kui olete kunagi olukorras, kus teil pole juurdepääsu varundatud nutitelefoni seadmele.