Raspberry Pi je populárny jednodeskový počítač, ktorý sa v posledných rokoch stal všetkým šialenstvom. Vďaka svojej rastúcej popularite a bežnému používaniu u kódovačov nováčikov a technologických nadšencov sa stala cieľom pre zločincov, aby robili to, čo sa im páči najlepšie: kybernetická krádež. Rovnako ako v prípade bežných počítačových zariadení, ktoré chránime pomocou mnohých brán firewall a hesiel, je čoraz dôležitejšie chrániť vaše zariadenie Raspberry Pi rovnako podobnou mnohostrannou ochranou.
Malinový koláč
Viacfaktorová autentifikácia funguje kombináciou dvoch alebo viacerých z nasledujúcich spôsobov, aby ste získali prístup k svojmu účtu alebo zariadeniu. Tri široké kategórie, z ktorých sa poskytujú informácie poskytujúce prístup, sú: niečo, čo viete, niečo, čo máte, a niečo, čo ste. Prvou kategóriou môže byť heslo alebo kód PIN, ktoré ste nastavili pre svoj účet alebo zariadenie. Ako ďalšiu vrstvu ochrany môže byť od vás požadované, aby ste poskytli niečo z druhej kategórie, ako napríklad pin vygenerovaný systémom, ktorý sa odošle na váš smartphone alebo sa vygeneruje na inom zariadení, ktoré vlastníte. Ako tretiu alternatívu môžete zahrnúť aj niečo z tretej kategórie pozostávajúce z fyzických kľúčov, ako je biometrická identifikácia, ktorá zahrnuje rozpoznávanie tváre, odtlačok prsta a skenovanie sietnice v závislosti od schopnosti vášho zariadenia tieto skenovania vykonávať.
Na účely tohto nastavenia budeme používať dva najbežnejšie režimy overovania: vaše nastavené heslo a jednorazový token vygenerovaný prostredníctvom vášho smartphonu. Oba kroky integrujeme do spoločnosti Google a vaše heslo dostaneme prostredníctvom aplikácie autentifikátora Google (ktorá nahradzuje potrebu prijímania kódov SMS na váš mobilný telefón).
Krok 1: Získajte aplikáciu Google Authenticator
Aplikácia Google Authenticator v obchode Google Play.
Predtým, ako začneme nastavovať vaše zariadenie, stiahnime si a nainštalujme do vášho smartfónu aplikáciu autentifikátor Google. Zamierte do obchodu Apple App Store, Google Play Store alebo do príslušného obchodu ľubovoľného zariadenia, ktoré práve prevádzkujete. Stiahnite si aplikáciu autentifikátor Google a počkajte na dokončenie inštalácie. Môžu sa použiť aj ďalšie autentifikačné aplikácie, ako napríklad autentifikátor spoločnosti Microsoft, ale pre náš výukový program použijeme aplikáciu autentifikátora Google.
Krok 2: Nastavenie pripojení SSH
Zariadenia Raspberry Pi normálne fungujú na SSH a budeme tiež pracovať na konfigurácii našej viacfaktorovej autentifikácie cez SSH. Vytvoríme dve pripojenia SSH, aby sme to dosiahli z nasledujúceho dôvodu: nechceme, aby ste sa uzamkli zo svojho zariadenia, a v prípade, že sa uzamknete z jedného streamu, druhé vám umožní ďalšiu šancu dostať sa späť Toto je iba bezpečnostná sieť, ktorú zavádzame kvôli vám: používateľ, ktorý zariadenie vlastní. Tento druhý prúd bezpečnostnej siete budeme udržiavať počas celého procesu nastavenia, kým sa nedokončí celé nastavenie, a zaistili sme, že vaša viacfaktorová autentifikácia bude fungovať správne. Ak vykonáte nasledujúce kroky premyslene a opatrne, nemali by sa vyskytnúť žiadne problémy s nastavením autentifikácie.
Rozhranie Raspberry Pi.
Spustite dve terminálové okná a do každého zadajte nasledujúci príkaz. Jedná sa o paralelné nastavenie dvoch prúdov.
ssh username@piname.local
Namiesto používateľského mena zadajte používateľské meno svojho zariadenia. Namiesto názvu pí zadajte názov zariadenia pi.
Po stlačení klávesu Enter by ste mali v oboch terminálových oknách dostať uvítaciu správu, ktorá bude obsahovať aj meno vášho zariadenia a vaše používateľské meno.
Ďalej upravíme súbor sshd_config. Za týmto účelom zadajte do každého okna nasledujúci príkaz. Nezabudnite vykonať všetky kroky v tejto časti v obidvoch oknách paralelne.
sudo nano / etc / ssh / sshd_config
Posuňte zobrazenie nadol a nájdite miesto, kde sa píše: ChallengeResponseAuthentication č
Zadaním tohto znaku zmeňte „nie“ na „áno“. Uložte zmeny stlačením [Ctrl] + [O] a potom ukončite okno stlačením [Ctrl] + [X]. Opäť to urobte pre obe okná.
Reštartujte terminály a do každého zadajte nasledujúci príkaz na reštartovanie démona SSH:
sudo systemctl restart ssh
Nakoniec. Nainštalujte si do svojho nastavenia aplikáciu Google Authenticator, pomocou ktorej integrujete svoj systém. Za týmto účelom zadajte nasledujúci príkaz:
sudo apt-get install libpam-google-authenticator
Vaše streamy boli teraz nastavené a až do tohto bodu ste nakonfigurovali svoj autentifikátor Google so zariadením aj so smartfónom.
Krok 3: Integrácia vašej viacfaktorovej autentifikácie do aplikácie Google Authenticator
- Spustite svoj účet a zadajte nasledujúci príkaz: google-autentifikátor
- Zadajte „Y“ pre časové tokeny
- Natiahnite svoje okno, aby ste videli celý vygenerovaný QR kód, a naskenujte ho na svojom smartfóne. To vám umožní spárovať službu autentifikátora vášho Raspberry Pi s aplikáciou pre smartphone.
- Pod QR kódom sa zobrazia niektoré záložné kódy. Poznačte si ich alebo si ich odfoťte, aby ste si ich nechali v rezerve pre prípad, že nebudete môcť overiť svoje viacfaktorové overenie pomocou aplikácie Google Authenticator a nakoniec budete potrebovať záložný kód, aby ste sa dostali dovnútra. Uchovávajte ich v bezpečí a nie stratiť ich.
- Teraz sa zobrazí výzva so štyrmi otázkami. Tu je postup, ako na ne budete musieť odpovedať, a to zadaním „Y“ pre áno alebo „N“ pre nie. (Poznámka: Nasledujúce otázky sú citované priamo z digitálneho terminálu Raspberry Pi, aby ste presne vedeli, s ktorými otázkami sa stretnete a ako na ne odpovedať.)
Aplikácia pre chytré telefóny Google Authenticator pre iOS. Účty boli z bezpečnostných dôvodov začiernené a číslice bezpečnostných kódov boli tiež zamiešané a zmenené.
- „Chcete, aby som aktualizoval váš súbor„ /home/pi/.google_authenticator “?“ (áno / nie): Zadajte „Y“
- „Chcete zakázať viacnásobné použitie rovnakého autentifikačného tokenu? To vás obmedzuje na jedno prihlásenie približne každých 30 s, ale zvyšuje sa vaša šanca spozorovať alebo dokonca zabrániť útokom typu man-in-the-middle (y / n): “ Zadajte „Y“
- „Mobilná aplikácia predvolene generuje nový token každých 30 sekúnd. Aby sme vyrovnali možné časové skreslenie medzi klientom a serverom, povoľujeme dodatočný token pred a po aktuálnom čase. To umožňuje časové skreslenie medzi autentifikačným serverom a klientom až 30 sekúnd. Ak narazíte na problémy so slabou časovou synchronizáciou, môžete okno zväčšiť z jeho predvolenej veľkosti na 3 povolené kódy (jeden predchádzajúci kód, jeden aktuálny kód, ďalší kód) na 17 povolených kódov (8 predchádzajúcich kódov, jeden aktuálny kód, ďalších 8 kódov). To umožní časové skreslenie medzi klientom a serverom až 4 minúty. Chceš to urobiť? (áno / nie): ” Zadajte „N“
- 'Ak počítač, do ktorého sa prihlasuješ, nie je odolný voči pokusom o prihlásenie hrubou silou, môžeš povoliť obmedzenie rýchlosti pre autentifikačný modul.' Predvolene to obmedzuje útočníkov na maximálne 3 pokusy o prihlásenie každých 30 s. Chcete povoliť obmedzenie rýchlosti? (áno / nie): ” Zadajte „Y“
- Teraz spustite vo svojom smartfóne aplikáciu Google Authenticator a stlačte ikonu plus v hornej časti obrazovky. Naskenujte QR kód, ktorý sa zobrazuje na vašom zariadení Pi, aby sa tieto dve zariadenia spárovali. Teraz sa vám budú zobrazovať autentifikačné kódy nepretržite, kedykoľvek ich budete potrebovať na prihlásenie. Nebudete musieť vygenerovať kód. Môžete jednoducho spustiť aplikáciu a zadať aplikáciu, ktorá sa práve zobrazuje.
Krok 4: Konfigurácia overovacieho modulu PAM pomocou vášho SSH
Spustite terminál a zadajte nasledujúci príkaz: sudo nano /etc/pam.d/sshd
Zadajte nasledujúci príkaz, ako je to znázornené:
Vyžaduje sa autentifikácia # 2FA pam_google_authenticator.so
Ak chcete, aby sa pred zadaním hesla zobrazila výzva na zadanie kľúča prostredníctvom aplikácie Google Authenticator, zadajte predtým zadaný príkaz nasledujúci príkaz:
@include common-auth
Ak chcete byť po zadaní hesla požiadaní o prístupový kľúč, zadajte ten istý príkaz, ale vložte ho až po predchádzajúcej množine príkazov # 2FA. Uložte zmeny stlačením [Ctrl] + [O] a potom ukončite okno stlačením [Ctrl] + [X].
Krok 5: Zatvorte paralelný prúd SSH
Teraz, keď ste dokončili nastavenie viacfaktorovej autentifikácie, môžete zavrieť jeden z paralelných tokov, ktoré sme mali spustené. Za týmto účelom zadajte nasledujúci príkaz:
sudo systemctl restart ssh
Váš druhý záložný bezpečnostný sieťový prúd stále beží. Toto ponecháte v chode, kým neoveríte, že vaša viacfaktorová autentifikácia funguje správne. Za týmto účelom spustite nové pripojenie SSH zadaním:
ssh username@piname.local
Namiesto používateľského mena zadajte používateľské meno svojho zariadenia. Namiesto názvu pí zadajte názov zariadenia pi.
Teraz sa vykoná postup prihlásenia. Zadajte svoje heslo a potom zadajte kód zobrazený v aplikácii Google Authenticator. Buďte opatrní, aby ste oba kroky vykonali za tridsať sekúnd. Ak sa môžete úspešne prihlásiť, môžete sa vrátiť späť a zopakovaním predchádzajúceho kroku uzavrieť prúd paralelnej bezpečnostnej siete, ktorý sme mali spustený. Ak ste správne vykonali všetky kroky, mali by ste vo svojom zariadení Raspberry Pi teraz pokračovať s viacfaktorovou autentifikáciou.
Záverečné slová
Rovnako ako v prípade každého procesu overenia totožnosti, ktorý uplatníte na ľubovoľnom zariadení alebo účte, aj vďaka týmto ďalším faktorom je bezpečnejší ako predtým, ale nie úplne bezpečne. Pri používaní zariadenia buďte opatrní. Dávajte pozor na potenciálne podvody, phishingové útoky a kybernetické krádeže, ktorým by sa vaše zariadenie mohlo stať predmetom. Chráňte svoje druhé zariadenie, na ktorom ste nastavili proces načítania kódu, a chráňte ho tiež. Toto zariadenie budete potrebovať zakaždým, aby ste sa dostali späť do systému. Záložné kódy uchovávajte na známom a bezpečnom mieste pre prípad, že by ste sa niekedy dostali na miesto, kde nemáte prístup k svojmu zálohovanému zariadeniu smartphone.
