树莓皮现在到处都是,这就是为什么它吸引了威胁行为者和网络罪犯的目光。我们将向您展示如何使用双因素身份验证保护Pi。
树莓皮是单板计算机。它于2012在英国推出,目的是让孩子们修补、创建和学习代码。最初的外形是一块信用卡大小的电路板,由**充电器供电。
它提供HDMI输出、USB端口、网络连接,并运行Linux。后来增加到生产线包括更小的版本,旨在纳入产品或运行作为无头系统。价格范围从5美元的简约派皮零,以75美元的皮4b/8gb。
它的成功是令人难以置信的;超过3000万台这种微型计算机已经销往世界各地。爱好者们用它们做了令人惊奇和鼓舞人心的事情,包括把一个漂浮到太空边缘,再放回气球上。
唉,一旦一个计算平台变得足够广泛,它就不可避免地引起网络犯罪分子的注意。想想有多少Pi在使用默认的用户帐户和密码是很可怕的。如果Pi是面向公众的,并且可以通过secureshell(SSH)从internet访问,那么它必须是安全的。
即使你的Pi上没有任何有价值的数据或软件,你也需要保护它,因为你的Pi不是真正的目标,它只是进入你的网络的一种方式。一旦威胁参与者在网络中站稳脚跟,他就会转向他真正感兴趣的其他设备。
验证或访问系统需要一个或多个因素。因素分类如下:
多因素身份验证(MFA)需要密码和其他类别中的一个或多个项。例如,我们将使用密码和**。**将运行一个Google认证器应用程序,Pi将运行一个Google认证模块。
**应用程序通过扫描二维码链接到Pi。这会将一些种子信息从Pi传递到您的**,确保它们的号码生成算法同时生成相同的代码。这些代码被称为基于时间的一次性密码(TOTP)。
当它接收到一个连接请求时,Pi生成一个代码。您使用**上的验证器应用程序查看当前代码,然后Pi会询问您的密码和验证代码。在允许连接之前,您的密码和TOTP必须正确。
如果您通常使用SSH连接到Pi上,那么它很可能是一个无头系统,因此我们将通过SSH连接配置它。
建立两个SSH连接最安全:一个用于配置和测试,另一个用作安全网。这样,如果将自己锁定在Pi之外,第二个活动SSH连接仍然处于活动状态。更改SSH设置不会影响正在进行的连接,因此可以使用第二个设置来反转任何更改并纠正这种情况。
如果最坏的情况发生了,并且您通过SSH被完全锁定,您仍然可以将Pi连接到监视器、键盘和鼠标,然后登录到常规会话。也就是说,你仍然可以登录,只要你的Pi可以驱动显示器。但是,如果不能,您确实需要保持安全网SSH连接处于打开状态,直到您验证了双因素身份验证正在工作。
当然,最终的制裁措施是将操作系统刷新到Pi的micro-SD卡上,但让我们尽量避免这种情况。
首先,我们需要建立到Pi的两个连接。两个命令都采用以下形式:
ssh [email protected]这个Pi的名称是“看门狗”,但是您将键入您的名称。如果您更改了默认用户名,也可以使用它;我们的用户名是“pi”
请记住,为了安全起见,请在不同的终端窗口中键入此命令两次,以便您有两个到Pi的连接。然后,最小化其中一个,这样它就不会碍事,也不会被意外关闭。
连接后,您将看到问候语。提示符将显示用户名(在本例中为“pi”)和pi的名称(在本例中为“看门狗”)。
您需要编辑“sshd\u config”文件。我们将在nano文本编辑器中执行此操作:
sudo nano /etc/ssh/sshd_config滚动文件直到看到以下行:
ChallengeResp***eAuthentication no将“否”替换为“是”
按Ctrl+O将更改保存在nano中,然后按Ctrl+X关闭文件。使用以下命令重新启动SSH守护程序:
sudo systemctl restart ssh您需要安装googleauthenticator,它是一个可**的身份验证模块(PAM)库。应用程序(SSH)将调用Linux PAM接口,该接口将找到相应的PAM模块来为所请求的身份验证类型提供服务。
键入以下内容:
sudo apt-get install libpam-google-authenticatorgoogleauthenticator应用程序可用于iPhone和Android,因此只需为您的**安装相应的版本即可。您还可以使用Authy和其他支持此类验证代码的应用程序。
在通过SSH连接到Pi时要使用的帐户中,运行以下命令(不要包含sudo前缀):
google-authenticator将询问您是否希望身份验证令牌基于时间;按Y,然后按Enter。
生成了一个快速响应(QR)码,但它被置乱了,因为它比80列终端窗口宽。将窗口拖得更宽以查看代码。
在二维码下面你还会看到一些安全码。这些文件被写入一个名为“.google\u authenticator”的文件中,但您现在可能想复制它们。如果您失去了获取TOTP的能力(例如,如果您丢失了**),您可以使用这些代码进行身份验证。
你必须回答四个问题,第一个是:
Do you want me to update your "/home/pi/.google_authenticator" file? (y/n)按Y键,然后按Enter键。
下一个问题是,是否要防止在30秒的窗口内多次使用同一代码。
按Y键,然后按Enter键。
第三个问题是,您是否希望扩大TOTP代币的接受窗口。
按N键回答此问题,然后按Enter键。
最后一个问题是:“是否要启用速率限制?”
键入Y,然后按回车键。
您将返回到命令提示符。如有必要,将终端窗口拖得更宽和/或在终端窗口中向上滚动,以便可以看到整个二维码。
在**上打开authenticator应用程序,然后按屏幕右下角的加号(+)。选择“扫描二维码”,然后在终端窗口中扫描二维码。
一个新的条目将出现在以Pi的主机名命名的authenticator应用程序中,并且一个六位数的TOTP代码将列在它下面。它显示为两组三位数字以便于阅读,但您必须键入一个六位数字。
代码旁边的动画圆圈表示代码有效的时间:一个完整的圆圈表示30秒,一个半圆表示15秒,依此类推。
我们还有一个文件要编辑。我们必须告诉SSH要使用哪个PAM身份验证模块:
sudo nano /etc/pam.d/sshd在文件顶部附近键入以下行:
#2FA auth required pam_google_authenticator.so您还可以选择何时需要TOTP:
注意“pam\u google”中使用的下划线_验证器.so,”而不是前面我们在apt get命令中使用的连字符(-)来安装模块。
按Ctrl+O将更改写入文件,然后按Ctrl+X关闭编辑器。我们需要最后一次重新启动SSH,然后我们就完成了:
sudo systemctl restart ssh关闭此SSH连接,但在验证下一步之前,请保持另一个安全网SSH连接运行。
确保**上的authenticator应用已打开并准备就绪,然后打开到Pi的新SSH连接:
ssh [email protected]你应该被要求输入密码,然后输入密码。从你的**输入密码,数字之间不要有空格。就像你的密码一样,它不会在屏幕上显示。
如果一切都按计划进行,应该允许您连接到Pi;如果没有,请使用您的安全网SSH连接来检查前面的步骤。
你注意到上面“safe”中的“r”了吗?
事实上,现在连接到树莓圆周率时比以前更安全,但没有什么是百分之百安全的。有一些方法可以绕过双因素身份验证。这些技术依赖于社会工程、中间人攻击和端点人攻击、SIM卡交换以及其他高级技术,很显然,我们将不在这里描述这些技术。
那么,如果这一切都不完美,为什么还要费心呢?好吧,同样的原因,当你离开的时候你会锁上你的前门,即使有人会撬锁,但大多数人不会。
... 本文向您展示了如何使用接收Facebook确认码的替代方法登录您的帐户。 ...
需要在树莓皮上使用多个操作系统吗?有几种工具可以帮助管理这个过程,例如树莓Pi基金会自己的NOOBS和它的先驱BerryBoot。 ...
绝大多数加密货币用户将资金存储在Coinbase或Binance等交易所。然而,这种方法有许多缺点,包括高费用、盗窃风险、欺诈和安全漏洞。 ...
Raspberry Pi是一台很棒的计算机,但它并不总是最方便访问的设备。除非您将它永久连接到显示器,否则您可能会通过SSH、VNC或RDP访问它。 ...
...进行更改。 相关:为什么你应该使用密码管理器,以及如何开始 联机更改密码 从Ring的网站开始。从那里,点击右上角的“登录”按钮。 接下来,登录您的帐户。 将鼠标悬停在右上角的姓名上,然后选择“帐户”选项。 单...
...多数应用程序都很容易打开2FA,LinkedIn也不例外。下面是如何启用它,让自己更安全。 你可以从LinkedIn网站或移动应用程序启用双因素身份验证,但无论哪种方式,你都需要登录到你的LinkedIn帐户。先来吧。 从linkedin网站启用双...
...大多数应用程序都很容易打开2FA,Slack也不例外。下面是如何启用它,让自己更安全。 您需要登录到Slack workspace,所以请先在Slack桌面应用程序或[yourworkspace]中进行登录。slack.com网站. 进入后,单击工作区名称旁边的箭头,然后...