Raspberry Pi adalah komputer papan tunggal yang popular yang menjadi kegilaan dalam beberapa tahun kebelakangan ini. Oleh kerana populariti dan penggunaannya yang semakin meningkat di kalangan pengkod baru dan penggemar teknologi, ini telah menjadi sasaran bagi penjenayah siber untuk melakukan perkara yang paling mereka sukai: kecurian siber. Sama seperti peranti PC biasa yang kami lindungi dengan banyak firewall dan kata laluan, menjadi semakin penting untuk melindungi peranti Raspberry Pi anda dengan perlindungan pelbagai aspek yang serupa juga.
Pai raspberi
Pengesahan berbilang faktor berfungsi dengan menggabungkan dua atau lebih perkara berikut untuk memberi anda akses ke akaun atau peranti anda. Tiga kategori luas untuk menyediakan maklumat pemberian akses adalah: sesuatu yang anda tahu, sesuatu yang anda ada, dan sesuatu yang anda ada. Kategori pertama boleh berupa kata laluan atau kod pin yang telah anda siapkan untuk akaun atau peranti anda. Sebagai lapisan perlindungan tambahan, anda mungkin diminta memberikan sesuatu dari kategori kedua seperti pin yang dihasilkan sistem yang dihantar ke telefon pintar anda atau dihasilkan pada peranti lain yang anda miliki. Sebagai alternatif ketiga, anda juga boleh memasukkan sesuatu dari kategori ketiga, yang terdiri daripada kunci fizikal seperti pengenalan biometrik yang merangkumi pengecaman wajah, cap jari, dan imbasan retina bergantung pada kemampuan peranti anda melakukan imbasan ini.
Untuk tujuan penyediaan ini, kami akan menggunakan dua mod pengesahan yang paling biasa: kata laluan set anda dan token sekali sahaja yang dihasilkan melalui telefon pintar anda. Kami akan menggabungkan kedua-dua langkah dengan google dan menerima kata laluan anda melalui aplikasi pengesah Google (yang menggantikan keperluan untuk menerima kod SMS di telefon bimbit anda).
Langkah 1: Dapatkan Aplikasi Pengesah Google
Aplikasi Google Authenticator Di Gedung Google Play.
Sebelum kita mulai menyediakan peranti anda, mari memuat turun dan memasang aplikasi pengesah google pada telefon pintar anda. Pergi ke gedung Apple App, Google play store, atau kedai masing-masing dari mana sahaja peranti yang anda kendalikan. Muat turun aplikasi pengesah google dan tunggu sehingga pemasangan selesai. Aplikasi pengesahan lain seperti pengesah Microsoft juga dapat digunakan, tetapi untuk tutorial kami, kami akan menggunakan aplikasi pengesah Google.
Langkah 2: Menyiapkan Sambungan SSH Anda
Peranti Raspberry Pi biasanya beroperasi pada SSH dan kami akan berusaha mengkonfigurasi pengesahan pelbagai faktor kami melalui SSH juga. Kami akan membuat dua sambungan SSH untuk melakukan ini kerana alasan berikut: kami tidak mahu anda terkunci dari peranti anda dan sekiranya anda terkunci dari satu aliran, yang kedua akan memberi anda peluang lain untuk masuk semula Ini hanya jaring pengaman yang kami pasangkan untuk anda: pengguna yang memiliki peranti. Kami akan memastikan arus keselamatan kedua ini sepanjang proses penyediaan sehingga keseluruhan persediaan selesai dan kami telah memastikan bahawa pengesahan berbilang faktor anda berfungsi dengan baik. Sekiranya anda melakukan langkah-langkah berikut dengan teliti dan hati-hati, tidak akan ada masalah untuk menyiapkan pengesahan anda.
Antara Muka Raspberry Pi.
Lancarkan dua tetingkap terminal dan ketik perintah berikut di masing-masing. Ini adalah untuk mengatur dua aliran secara selari.
ssh nama pengguna@piname.local
Daripada nama pengguna, taipkan nama pengguna peranti anda. Daripada nama pi, taipkan nama peranti pi anda.
Setelah menekan enter, anda akan mendapat pesanan selamat datang di kedua-dua tetingkap terminal yang menunjukkan nama peranti anda dan nama pengguna anda juga.
Seterusnya, kami akan mengedit fail sshd_config. Untuk melakukan ini, ketik perintah berikut di setiap tetingkap. Ingatlah untuk melakukan semua langkah di bahagian ini di kedua-dua tetingkap secara selari.
sudo nano / etc / ssh / sshd_config
Tatal ke bawah dan cari di mana tertulis: ChallengeResponseAuthentication No.
Tukar 'tidak' menjadi 'ya' dengan menaip ini di tempatnya. Simpan perubahan anda dengan menekan [Ctrl] + [O] dan kemudian keluar dari tingkap dengan menekan [Ctrl] + [X]. Sekali lagi, lakukan ini untuk kedua-dua tetingkap.
Lancarkan semula terminal dan taipkan perintah berikut untuk memulakan semula daemon SSH:
sudo systemctl mulakan semula ssh
Akhir sekali. Pasang Google Authenticator dalam persediaan anda untuk mengintegrasikan sistem anda dengannya. Untuk melakukan ini, ketik perintah berikut:
sudo apt-get install libpam-google-authorator
Aliran anda kini telah disiapkan dan anda telah mengkonfigurasi pengesah google anda dengan kedua-dua peranti dan telefon pintar anda sehingga ke tahap ini.
Langkah 3: Mengintegrasikan Pengesahan Pelbagai Faktor Anda Dengan Google Authenticator
- Lancarkan akaun anda dan ketik perintah berikut: pengesah google
- Masukkan 'Y' untuk token berdasarkan masa
- Regangkan tetingkap anda untuk melihat keseluruhan kod QR yang telah dihasilkan dan imbasnya pada peranti telefon pintar anda. Ini akan membolehkan anda memasangkan perkhidmatan pengesah Raspberry Pi anda dengan aplikasi telefon pintar anda.
- Terdapat beberapa kod sandaran yang dipaparkan di bawah kod QR. Catat ini atau ambil gambar mereka untuk disimpan sekiranya anda tidak dapat mengesahkan pengesahan berbilang faktor melalui aplikasi Google Authenticator dan akhirnya memerlukan kod sandaran untuk masuk. Simpan ini dengan selamat dan jangan kehilangan mereka.
- Anda akan diminta dengan empat soalan sekarang dan berikut adalah bagaimana anda perlu menjawabnya dengan memasukkan 'Y' untuk ya atau 'N' untuk tidak. (Nota: Soalan di bawah ini dipetik langsung dari terminal digital Raspberry Pi sehingga anda tahu dengan tepat soalan mana yang akan anda hadapi dan bagaimana untuk menjawabnya.)
Aplikasi Telefon Pintar Google Authenticator pada iOS. Akaun telah dipadamkan kerana alasan keselamatan dan digit kod keselamatan telah diubah dan diubah juga.
- 'Adakah anda mahu saya mengemas kini fail' /home/pi/.google_authenticator 'anda?' (y / n): Masukkan 'Y'
- 'Adakah anda mahu melarang banyak penggunaan token pengesahan yang sama? Ini mengehadkan anda untuk masuk sekali setiap 30-an tetapi meningkatkan peluang anda untuk melihat atau bahkan mencegah serangan man-in-the-middle (y / n): ' Masukkan 'Y'
- “Secara lalai, token baru dihasilkan setiap 30 saat oleh aplikasi mudah alih. Untuk mengimbangi kemungkinan kesesuaian waktu antara klien dan pelayan, kami membenarkan token tambahan sebelum dan selepas waktu semasa. Ini memungkinkan sedikit masa hingga 30 saat antara pelayan pengesahan dan klien. Sekiranya anda mengalami masalah dengan penyegerakan waktu yang buruk, anda boleh menambah tetingkap dari ukuran lalainya dari 3 kod yang dibenarkan (satu kod sebelumnya, satu kod semasa, kod seterusnya) kepada 17 kod yang dibenarkan (8 kod sebelumnya, satu kod semasa, 8 kod seterusnya). Ini akan memungkinkan untuk sementara waktu antara 4 minit antara pelanggan dan pelayan. Adakah anda mahu berbuat demikian? (y / n): ' Masukkan 'N'
- 'Jika komputer yang anda log masuk tidak dikeras terhadap percubaan log masuk brute-force, anda boleh mengaktifkan pembatasan kadar untuk modul pengesahan. Secara lalai, ini membatasi penyerang tidak lebih dari 3 percubaan log masuk setiap 30-an. Adakah anda mahu mengaktifkan had harga? (y / n): ' Masukkan 'Y'
- Sekarang, lancarkan aplikasi Google Authenticator pada telefon pintar anda dan tekan ikon tambah di bahagian atas skrin. Imbas kod QR yang dipaparkan pada peranti Pi anda untuk memasangkan kedua peranti tersebut. Anda kini akan dipaparkan dengan kod pengesahan sepanjang masa bila anda memerlukannya untuk log masuk. Anda tidak perlu membuat kod. Anda hanya boleh melancarkan aplikasi dan menaip aplikasi yang dipaparkan pada masa itu.
Langkah 4: Mengkonfigurasi Modul Pengesahan PAM Dengan SSH Anda
Lancarkan terminal anda dan ketik perintah berikut: sudo nano /etc/pam.d/sshd
Ketik perintah berikut seperti yang ditunjukkan:
# 2FA diperlukan pam_google_authenticator.so
Sekiranya anda ingin meminta kunci pas anda melalui aplikasi Google Authenticator sebelum memasukkan kata laluan anda, ketik perintah berikut sebelum perintah yang diketik sebelumnya:
@sertakan common-auth
Sekiranya anda ingin meminta kunci lulus setelah kata laluan anda dimasukkan, ketik perintah yang sama ini, kecuali masukkan setelah set perintah # 2FA sebelumnya. Simpan perubahan anda dengan menekan [Ctrl] + [O] dan kemudian keluar dari tingkap dengan menekan [Ctrl] + [X].
Langkah 5: Tutup Aliran SSH Selari
Setelah anda selesai membuat pengesahan pelbagai faktor, anda boleh menutup salah satu aliran selari yang telah kami jalani. Untuk melakukan ini, ketik perintah berikut:
sudo systemctl mulakan semula ssh
Aliran jaring keselamatan sandaran kedua anda masih berjalan. Anda akan terus berjalan sehingga anda mengesahkan bahawa pengesahan pelbagai faktor anda berfungsi dengan baik. Untuk melakukan ini, lancarkan sambungan SSH baru dengan menaip:
ssh nama pengguna@piname.local
Daripada nama pengguna, taipkan nama pengguna peranti anda. Daripada nama pi, taipkan nama peranti pi anda.
Prosedur log masuk sekarang akan dijalankan. Masukkan kata laluan anda dan kemudian masukkan kod yang dipaparkan pada aplikasi Google Authenticator anda pada masa ini. Berhati-hati untuk menyelesaikan kedua-dua langkah dalam tiga puluh saat. Sekiranya anda berjaya log masuk, anda boleh masuk semula dan mengulangi langkah sebelumnya untuk menutup aliran jaring keselamatan selari yang kami jalankan di tempat. Sekiranya anda telah mengikuti semua langkah dengan betul, anda seharusnya dapat meneruskannya dengan pengesahan pelbagai faktor pada peranti Raspberry Pi anda sekarang.
Perkataan Akhir
Seperti proses pengesahan yang anda buat di mana-mana peranti atau akaun, faktor tambahan ini menjadikannya lebih selamat daripada sebelumnya tetapi tidak menjadikannya benar-benar selamat. Berhati-hati semasa menggunakan peranti anda. Berhati-hatilah dengan kemungkinan penipuan, serangan pancingan data, dan kecurian siber yang menjadi sasaran peranti anda. Lindungi peranti kedua anda yang telah anda siapkan proses pengambilan kod dan selamatkannya juga. Anda memerlukan peranti ini setiap masa untuk masuk semula ke dalam sistem anda. Simpan kod sandaran anda di lokasi yang diketahui dan selamat sekiranya anda berada dalam kedudukan di mana anda tidak mempunyai akses ke peranti telefon pintar sandaran anda.
