如何在raspberry pi上設定雙因素身份驗證

樹莓皮現在到處都是,這就是為什麼它吸引了威脅行為者和網路罪犯的目光。我們將向您展示如何使用雙因素身份驗證保護Pi。...

樹莓皮現在到處都是,這就是為什麼它吸引了威脅行為者和網路罪犯的目光。我們將向您展示如何使用雙因素身份驗證保護Pi。

神奇的樹莓皮

樹莓皮是單板計算機。它於2012在英國推出,目的是讓孩子們修補、建立和學習程式碼。最初的外形是一塊信用卡大小的電路板,由**充電器供電。

它提供HDMI輸出、USB埠、網路連線,並執行Linux。後來增加到生產線包括更小的版本,旨在納入產品或執行作為無頭系統。價格範圍從5美元的簡約派皮零,以75美元的皮4b/8gb。

它的成功是令人難以置信的;超過3000萬臺這種微型計算機已經銷往世界各地。愛好者們用它們做了令人驚奇和鼓舞人心的事情,包括把一個漂浮到太空邊緣,再放回氣球上。

唉,一旦一個計算平臺變得足夠廣泛,它就不可避免地引起網路犯罪分子的注意。想想有多少Pi在使用預設的使用者帳戶和密碼是很可怕的。如果Pi是面向公眾的,並且可以透過secureshell(SSH)從internet訪問,那麼它必須是安全的。

即使你的Pi上沒有任何有價值的資料或軟體,你也需要保護它,因為你的Pi不是真正的目標,它只是進入你的網路的一種方式。一旦威脅參與者在網路中站穩腳跟,他就會轉向他真正感興趣的其他裝置。

雙因素認證

驗證或訪問系統需要一個或多個因素。因素分類如下:

  • 你知道的東西:比如密碼或短語。
  • 你有的東西:比如**、物理令牌或加密狗。
  • 你是什麼樣的人:一個生物識別讀數,比如指紋或視網膜掃描。

多因素身份驗證(MFA)需要密碼和其他類別中的一個或多個項。例如,我們將使用密碼和**。**將執行一個Google認證器應用程式,Pi將執行一個Google認證模組。

**應用程式透過掃描二維碼連結到Pi。這會將一些種子資訊從Pi傳遞到您的**,確保它們的號碼生成演算法同時生成相同的程式碼。這些程式碼被稱為基於時間的一次性密碼(TOTP)。

當它接收到一個連線請求時,Pi生成一個程式碼。您使用**上的驗證器應用程式檢視當前程式碼,然後Pi會詢問您的密碼和驗證程式碼。在允許連線之前,您的密碼和TOTP必須正確。

配置pi

如果您通常使用SSH連線到Pi上,那麼它很可能是一個無頭系統,因此我們將透過SSH連線配置它。

建立兩個SSH連線最安全:一個用於配置和測試,另一個用作安全網。這樣,如果將自己鎖定在Pi之外,第二個活動SSH連線仍然處於活動狀態。更改SSH設定不會影響正在進行的連線,因此可以使用第二個設定來反轉任何更改並糾正這種情況。

如果最壞的情況發生了,並且您透過SSH被完全鎖定,您仍然可以將Pi連線到監視器、鍵盤和滑鼠,然後登入到常規會話。也就是說,你仍然可以登入,只要你的Pi可以驅動顯示器。但是,如果不能,您確實需要保持安全網SSH連線處於開啟狀態,直到您驗證了雙因素身份驗證正在工作。

當然,最終的制裁措施是將作業系統重新整理到Pi的micro-SD卡上,但讓我們儘量避免這種情況。

首先,我們需要建立到Pi的兩個連線。兩個命令都採用以下形式:

ssh [email protected]

如何在raspberry pi上設定雙因素身份驗證

這個Pi的名稱是“看門狗”,但是您將鍵入您的名稱。如果您更改了預設使用者名稱,也可以使用它;我們的使用者名稱是“pi”

請記住,為了安全起見,請在不同的終端視窗中鍵入此命令兩次,以便您有兩個到Pi的連線。然後,最小化其中一個,這樣它就不會礙事,也不會被意外關閉。

連線後,您將看到問候語。提示符將顯示使用者名稱(在本例中為“pi”)和pi的名稱(在本例中為“看門狗”)。

如何在raspberry pi上設定雙因素身份驗證

您需要編輯“sshd\u config”檔案。我們將在nano文字編輯器中執行此操作:

sudo nano /etc/ssh/sshd_config

如何在raspberry pi上設定雙因素身份驗證

滾動檔案直到看到以下行:

ChallengeResp***eAuthentication no

將“否”替換為“是”

如何在raspberry pi上設定雙因素身份驗證

按Ctrl+O將更改儲存在nano中,然後按Ctrl+X關閉檔案。使用以下命令重新啟動SSH守護程式:

sudo systemctl restart ssh

如何在raspberry pi上設定雙因素身份驗證

您需要安裝googleauthenticator,它是一個可**的身份驗證模組(PAM)庫。應用程式(SSH)將呼叫Linux PAM介面,該介面將找到相應的PAM模組來為所請求的身份驗證型別提供服務。

鍵入以下內容:

sudo apt-get install libpam-google-authenticator

如何在raspberry pi上設定雙因素身份驗證

安裝應用程式

googleauthenticator應用程式可用於iPhone和Android,因此只需為您的**安裝相應的版本即可。您還可以使用Authy和其他支援此類驗證程式碼的應用程式。

如何在raspberry pi上設定雙因素身份驗證

配置雙因素身份驗證

在透過SSH連線到Pi時要使用的帳戶中,執行以下命令(不要包含sudo字首):

google-authenticator

將詢問您是否希望身份驗證令牌基於時間;按Y,然後按Enter。

生成了一個快速響應(QR)碼,但它被置亂了,因為它比80列終端視窗寬。將視窗拖得更寬以檢視程式碼。

在二維碼下面你還會看到一些安全碼。這些檔案被寫入一個名為“.google\u authenticator”的檔案中,但您現在可能想複製它們。如果您失去了獲取TOTP的能力(例如,如果您丟失了**),您可以使用這些程式碼進行身份驗證。

你必須回答四個問題,第一個是:

Do you want me to update your "/home/pi/.google_authenticator" file? (y/n)

按Y鍵,然後按Enter鍵。

如何在raspberry pi上設定雙因素身份驗證

下一個問題是,是否要防止在30秒的視窗內多次使用同一程式碼。

按Y鍵,然後按Enter鍵。

如何在raspberry pi上設定雙因素身份驗證

第三個問題是,您是否希望擴大TOTP代幣的接受視窗。

按N鍵回答此問題,然後按Enter鍵。

如何在raspberry pi上設定雙因素身份驗證

最後一個問題是:“是否要啟用速率限制?”

鍵入Y,然後按回車鍵。

如何在raspberry pi上設定雙因素身份驗證

您將返回到命令提示符。如有必要,將終端視窗拖得更寬和/或在終端視窗中向上滾動,以便可以看到整個二維碼。

在**上開啟authenticator應用程式,然後按螢幕右下角的加號(+)。選擇“掃描二維碼”,然後在終端視窗中掃描二維碼。

一個新的條目將出現在以Pi的主機名命名的authenticator應用程式中,並且一個六位數的TOTP程式碼將列在它下面。它顯示為兩組三位數字以便於閱讀,但您必須鍵入一個六位數字。

程式碼旁邊的動畫圓圈表示程式碼有效的時間:一個完整的圓圈表示30秒,一個半圓表示15秒,依此類推。

把它們聯絡起來

我們還有一個檔案要編輯。我們必須告訴SSH要使用哪個PAM身份驗證模組:

sudo nano /etc/pam.d/sshd

如何在raspberry pi上設定雙因素身份驗證

在檔案頂部附近鍵入以下行:

#2FA auth required pam_google_authenticator.so

如何在raspberry pi上設定雙因素身份驗證

您還可以選擇何時需要TOTP:

  • 輸入密碼後:在“@include common auth”下面鍵入前幾行,如上圖所示。
  • 在要求您輸入密碼之前:請鍵入“@include common auth”上面的前幾行

注意“pam\u google”中使用的下劃線_驗證器.so,”而不是前面我們在apt get命令中使用的連字元(-)來安裝模組。

按Ctrl+O將更改寫入檔案,然後按Ctrl+X關閉編輯器。我們需要最後一次重新啟動SSH,然後我們就完成了:

sudo systemctl restart ssh

如何在raspberry pi上設定雙因素身份驗證

關閉此SSH連線,但在驗證下一步之前,請保持另一個安全網SSH連線執行。

確保**上的authenticator應用已開啟並準備就緒,然後開啟到Pi的新SSH連線:

ssh [email protected]

如何在raspberry pi上設定雙因素身份驗證

你應該被要求輸入密碼,然後輸入密碼。從你的**輸入密碼,數字之間不要有空格。就像你的密碼一樣,它不會在螢幕上顯示。

如果一切都按計劃進行,應該允許您連線到Pi;如果沒有,請使用您的安全網SSH連線來檢查前面的步驟。

總比後悔安全

你注意到上面“safe”中的“r”了嗎?

事實上,現在連線到樹莓圓周率時比以前更安全,但沒有什麼是百分之百安全的。有一些方法可以繞過雙因素身份驗證。這些技術依賴於社會工程、中間人攻擊和端點人攻擊、SIM卡交換以及其他高階技術,很顯然,我們將不在這裡描述這些技術。

那麼,如果這一切都不完美,為什麼還要費心呢?好吧,同樣的原因,當你離開的時候你會鎖上你的前門,即使有人會撬鎖,但大多數人不會。

  • 發表於 2021-04-02 02:18
  • 閱讀 ( 40 )
  • 分類:網際網路

你可能感興趣的文章

如何在任何raspberry pi上安裝vpn

虛擬專用網(VPN)是網路隱私和安全的重要組成部分。簡言之,如果你還沒有執行一個與你常用的安全工具,你應該。VPN可用於Windows、Linux和macOS,以及Android和iOS。 ...

  • 發佈於 2021-03-14 18:08
  • 閲讀 ( 61 )

在raspberry pi上設定vnc,以便用任何pc或手機遠端控制它

使用Raspberry Pi作為標準PC(帶有顯示器和鍵盤)是與裝置互動的一種方式。但通常情況下,您可能不需要這些物品。您的USB埠可能太忙,無法連線鍵盤,而顯示器對於您的專案來說可能太笨重。雖然小巧、便攜的觸控式螢幕顯示...

  • 發佈於 2021-03-15 12:57
  • 閲讀 ( 52 )

如何觀看netflix,亞馬遜影片,和樹莓皮叢

試著把你的樹莓皮變成媒體中心,但感到失望? ...

  • 發佈於 2021-03-18 02:26
  • 閲讀 ( 57 )

如何將raspberry pi設定為windows瘦客戶端

想在你的樹莓皮上執行Windows嗎? ...

  • 發佈於 2021-03-21 09:29
  • 閲讀 ( 53 )

如何將樹莓圓周率成為一個vpn安全的旅行路由器

你能把密碼寫在一張紙上,貼在額頭上嗎?可能不會。然而,連線到公共Wi-Fi網路幾乎同樣愚蠢。 ...

  • 發佈於 2021-03-21 22:33
  • 閲讀 ( 51 )

如何在樹莓皮上玩幾乎所有的電子遊戲

你有樹莓皮。你可能已經接受了用它進行復古遊戲的想法。但是,如果我們告訴你,你不需要停在那裡-你可以玩大量的遊戲選擇,過去和現在,使用樹莓皮? ...

  • 發佈於 2021-03-24 06:46
  • 閲讀 ( 61 )

使用你的樹莓皮作為硬體加密貨幣錢包

絕大多數加密貨幣使用者將資金儲存在Coinbase或Binance等交易所。然而,這種方法有許多缺點,包括高費用、盜竊風險、欺詐和安全漏洞。 ...

  • 發佈於 2021-03-27 03:46
  • 閲讀 ( 46 )

如何使用安卓平板電腦作為樹莓皮顯示器

Raspberry Pi是一臺很棒的計算機,但它並不總是最方便訪問的裝置。除非您將它永久連線到顯示器,否則您可能會透過SSH、VNC或RDP訪問它。 ...

  • 發佈於 2021-03-30 19:23
  • 閲讀 ( 58 )

如何在android上設定icloud電子郵件訪問

...需要一臺最新的Mac、iPhone或iPad才能做到這一點。 相關:如何為您的Apple ID設定雙因素身份驗證 為此密碼提供一個簡短但難忘的描述(例如,“Android登入”),然後單擊“建立” 儲存Apple為您生成的密碼;您需要使用此密碼而...

  • 發佈於 2021-04-03 02:16
  • 閲讀 ( 149 )

如何在slack中啟用雙因素身份驗證

...大多數應用程式都很容易開啟2FA,Slack也不例外。下面是如何啟用它,讓自己更安全。 您需要登入到Slack workspace,所以請先在Slack桌面應用程式或[yourworkspace]中進行登入。slack.com網站. 進入後,單擊工作區名稱旁邊的箭頭,然後...

  • 發佈於 2021-04-03 10:58
  • 閲讀 ( 40 )
lalaa6968
lalaa6968

0 篇文章

作家榜

  1. admin 0 文章
  2. 孫小欽 0 文章
  3. JVhby0 0 文章
  4. fvpvzrr 0 文章
  5. 0sus8kksc 0 文章
  6. zsfn1903 0 文章
  7. w91395898 0 文章
  8. SuperQueen123 0 文章

相關推薦