樹莓皮現在到處都是,這就是為什麼它吸引了威脅行為者和網路罪犯的目光。我們將向您展示如何使用雙因素身份驗證保護Pi。
樹莓皮是單板計算機。它於2012在英國推出,目的是讓孩子們修補、建立和學習程式碼。最初的外形是一塊信用卡大小的電路板,由**充電器供電。
它提供HDMI輸出、USB埠、網路連線,並執行Linux。後來增加到生產線包括更小的版本,旨在納入產品或執行作為無頭系統。價格範圍從5美元的簡約派皮零,以75美元的皮4b/8gb。
它的成功是令人難以置信的;超過3000萬臺這種微型計算機已經銷往世界各地。愛好者們用它們做了令人驚奇和鼓舞人心的事情,包括把一個漂浮到太空邊緣,再放回氣球上。
唉,一旦一個計算平臺變得足夠廣泛,它就不可避免地引起網路犯罪分子的注意。想想有多少Pi在使用預設的使用者帳戶和密碼是很可怕的。如果Pi是面向公眾的,並且可以透過secureshell(SSH)從internet訪問,那麼它必須是安全的。
即使你的Pi上沒有任何有價值的資料或軟體,你也需要保護它,因為你的Pi不是真正的目標,它只是進入你的網路的一種方式。一旦威脅參與者在網路中站穩腳跟,他就會轉向他真正感興趣的其他裝置。
驗證或訪問系統需要一個或多個因素。因素分類如下:
多因素身份驗證(MFA)需要密碼和其他類別中的一個或多個項。例如,我們將使用密碼和**。**將執行一個Google認證器應用程式,Pi將執行一個Google認證模組。
**應用程式透過掃描二維碼連結到Pi。這會將一些種子資訊從Pi傳遞到您的**,確保它們的號碼生成演算法同時生成相同的程式碼。這些程式碼被稱為基於時間的一次性密碼(TOTP)。
當它接收到一個連線請求時,Pi生成一個程式碼。您使用**上的驗證器應用程式檢視當前程式碼,然後Pi會詢問您的密碼和驗證程式碼。在允許連線之前,您的密碼和TOTP必須正確。
如果您通常使用SSH連線到Pi上,那麼它很可能是一個無頭系統,因此我們將透過SSH連線配置它。
建立兩個SSH連線最安全:一個用於配置和測試,另一個用作安全網。這樣,如果將自己鎖定在Pi之外,第二個活動SSH連線仍然處於活動狀態。更改SSH設定不會影響正在進行的連線,因此可以使用第二個設定來反轉任何更改並糾正這種情況。
如果最壞的情況發生了,並且您透過SSH被完全鎖定,您仍然可以將Pi連線到監視器、鍵盤和滑鼠,然後登入到常規會話。也就是說,你仍然可以登入,只要你的Pi可以驅動顯示器。但是,如果不能,您確實需要保持安全網SSH連線處於開啟狀態,直到您驗證了雙因素身份驗證正在工作。
當然,最終的制裁措施是將作業系統重新整理到Pi的micro-SD卡上,但讓我們儘量避免這種情況。
首先,我們需要建立到Pi的兩個連線。兩個命令都採用以下形式:
ssh [email protected]這個Pi的名稱是“看門狗”,但是您將鍵入您的名稱。如果您更改了預設使用者名稱,也可以使用它;我們的使用者名稱是“pi”
請記住,為了安全起見,請在不同的終端視窗中鍵入此命令兩次,以便您有兩個到Pi的連線。然後,最小化其中一個,這樣它就不會礙事,也不會被意外關閉。
連線後,您將看到問候語。提示符將顯示使用者名稱(在本例中為“pi”)和pi的名稱(在本例中為“看門狗”)。
您需要編輯“sshd\u config”檔案。我們將在nano文字編輯器中執行此操作:
sudo nano /etc/ssh/sshd_config滾動檔案直到看到以下行:
ChallengeResp***eAuthentication no將“否”替換為“是”
按Ctrl+O將更改儲存在nano中,然後按Ctrl+X關閉檔案。使用以下命令重新啟動SSH守護程式:
sudo systemctl restart ssh您需要安裝googleauthenticator,它是一個可**的身份驗證模組(PAM)庫。應用程式(SSH)將呼叫Linux PAM介面,該介面將找到相應的PAM模組來為所請求的身份驗證型別提供服務。
鍵入以下內容:
sudo apt-get install libpam-google-authenticatorgoogleauthenticator應用程式可用於iPhone和Android,因此只需為您的**安裝相應的版本即可。您還可以使用Authy和其他支援此類驗證程式碼的應用程式。
在透過SSH連線到Pi時要使用的帳戶中,執行以下命令(不要包含sudo字首):
google-authenticator將詢問您是否希望身份驗證令牌基於時間;按Y,然後按Enter。
生成了一個快速響應(QR)碼,但它被置亂了,因為它比80列終端視窗寬。將視窗拖得更寬以檢視程式碼。
在二維碼下面你還會看到一些安全碼。這些檔案被寫入一個名為“.google\u authenticator”的檔案中,但您現在可能想複製它們。如果您失去了獲取TOTP的能力(例如,如果您丟失了**),您可以使用這些程式碼進行身份驗證。
你必須回答四個問題,第一個是:
Do you want me to update your "/home/pi/.google_authenticator" file? (y/n)按Y鍵,然後按Enter鍵。
下一個問題是,是否要防止在30秒的視窗內多次使用同一程式碼。
按Y鍵,然後按Enter鍵。
第三個問題是,您是否希望擴大TOTP代幣的接受視窗。
按N鍵回答此問題,然後按Enter鍵。
最後一個問題是:“是否要啟用速率限制?”
鍵入Y,然後按回車鍵。
您將返回到命令提示符。如有必要,將終端視窗拖得更寬和/或在終端視窗中向上滾動,以便可以看到整個二維碼。
在**上開啟authenticator應用程式,然後按螢幕右下角的加號(+)。選擇“掃描二維碼”,然後在終端視窗中掃描二維碼。
一個新的條目將出現在以Pi的主機名命名的authenticator應用程式中,並且一個六位數的TOTP程式碼將列在它下面。它顯示為兩組三位數字以便於閱讀,但您必須鍵入一個六位數字。
程式碼旁邊的動畫圓圈表示程式碼有效的時間:一個完整的圓圈表示30秒,一個半圓表示15秒,依此類推。
我們還有一個檔案要編輯。我們必須告訴SSH要使用哪個PAM身份驗證模組:
sudo nano /etc/pam.d/sshd在檔案頂部附近鍵入以下行:
#2FA auth required pam_google_authenticator.so您還可以選擇何時需要TOTP:
注意“pam\u google”中使用的下劃線_驗證器.so,”而不是前面我們在apt get命令中使用的連字元(-)來安裝模組。
按Ctrl+O將更改寫入檔案,然後按Ctrl+X關閉編輯器。我們需要最後一次重新啟動SSH,然後我們就完成了:
sudo systemctl restart ssh關閉此SSH連線,但在驗證下一步之前,請保持另一個安全網SSH連線執行。
確保**上的authenticator應用已開啟並準備就緒,然後開啟到Pi的新SSH連線:
ssh [email protected]你應該被要求輸入密碼,然後輸入密碼。從你的**輸入密碼,數字之間不要有空格。就像你的密碼一樣,它不會在螢幕上顯示。
如果一切都按計劃進行,應該允許您連線到Pi;如果沒有,請使用您的安全網SSH連線來檢查前面的步驟。
你注意到上面“safe”中的“r”了嗎?
事實上,現在連線到樹莓圓周率時比以前更安全,但沒有什麼是百分之百安全的。有一些方法可以繞過雙因素身份驗證。這些技術依賴於社會工程、中間人攻擊和端點人攻擊、SIM卡交換以及其他高階技術,很顯然,我們將不在這裡描述這些技術。
那麼,如果這一切都不完美,為什麼還要費心呢?好吧,同樣的原因,當你離開的時候你會鎖上你的前門,即使有人會撬鎖,但大多數人不會。
虛擬專用網(VPN)是網路隱私和安全的重要組成部分。簡言之,如果你還沒有執行一個與你常用的安全工具,你應該。VPN可用於Windows、Linux和macOS,以及Android和iOS。 ...
使用Raspberry Pi作為標準PC(帶有顯示器和鍵盤)是與裝置互動的一種方式。但通常情況下,您可能不需要這些物品。您的USB埠可能太忙,無法連線鍵盤,而顯示器對於您的專案來說可能太笨重。雖然小巧、便攜的觸控式螢幕顯示...
你能把密碼寫在一張紙上,貼在額頭上嗎?可能不會。然而,連線到公共Wi-Fi網路幾乎同樣愚蠢。 ...
你有樹莓皮。你可能已經接受了用它進行復古遊戲的想法。但是,如果我們告訴你,你不需要停在那裡-你可以玩大量的遊戲選擇,過去和現在,使用樹莓皮? ...
絕大多數加密貨幣使用者將資金儲存在Coinbase或Binance等交易所。然而,這種方法有許多缺點,包括高費用、盜竊風險、欺詐和安全漏洞。 ...
Raspberry Pi是一臺很棒的計算機,但它並不總是最方便訪問的裝置。除非您將它永久連線到顯示器,否則您可能會透過SSH、VNC或RDP訪問它。 ...
...需要一臺最新的Mac、iPhone或iPad才能做到這一點。 相關:如何為您的Apple ID設定雙因素身份驗證 為此密碼提供一個簡短但難忘的描述(例如,“Android登入”),然後單擊“建立” 儲存Apple為您生成的密碼;您需要使用此密碼而...
...大多數應用程式都很容易開啟2FA,Slack也不例外。下面是如何啟用它,讓自己更安全。 您需要登入到Slack workspace,所以請先在Slack桌面應用程式或[yourworkspace]中進行登入。slack.com網站. 進入後,單擊工作區名稱旁邊的箭頭,然後...