樹莓皮現在到處都是，這就是為什麼它吸引了威脅行為者和網路罪犯的目光。我們將向您展示如何使用雙因素身份驗證保護Pi。

神奇的樹莓皮

樹莓皮是單板計算機。它於2012在英國推出，目的是讓孩子們修補、建立和學習程式碼。最初的外形是一塊信用卡大小的電路板，由**充電器供電。

它提供HDMI輸出、USB埠、網路連線，並執行Linux。後來增加到生產線包括更小的版本，旨在納入產品或執行作為無頭系統。價格範圍從5美元的簡約派皮零，以75美元的皮4b/8gb。

它的成功是令人難以置信的；超過3000萬臺這種微型計算機已經銷往世界各地。愛好者們用它們做了令人驚奇和鼓舞人心的事情，包括把一個漂浮到太空邊緣，再放回氣球上。

唉，一旦一個計算平臺變得足夠廣泛，它就不可避免地引起網路犯罪分子的注意。想想有多少Pi在使用預設的使用者帳戶和密碼是很可怕的。如果Pi是面向公眾的，並且可以透過secureshell（SSH）從internet訪問，那麼它必須是安全的。

即使你的Pi上沒有任何有價值的資料或軟體，你也需要保護它，因為你的Pi不是真正的目標，它只是進入你的網路的一種方式。一旦威脅參與者在網路中站穩腳跟，他就會轉向他真正感興趣的其他裝置。

雙因素認證

驗證或訪問系統需要一個或多個因素。因素分類如下：

• 你知道的東西：比如密碼或短語。
• 你有的東西：比如**、物理令牌或加密狗。
• 你是什麼樣的人：一個生物識別讀數，比如指紋或視網膜掃描。

多因素身份驗證（MFA）需要密碼和其他類別中的一個或多個項。例如，我們將使用密碼和**。**將執行一個Google認證器應用程式，Pi將執行一個Google認證模組。

**應用程式透過掃描二維碼連結到Pi。這會將一些種子資訊從Pi傳遞到您的**，確保它們的號碼生成演算法同時生成相同的程式碼。這些程式碼被稱為基於時間的一次性密碼（TOTP）。

當它接收到一個連線請求時，Pi生成一個程式碼。您使用**上的驗證器應用程式檢視當前程式碼，然後Pi會詢問您的密碼和驗證程式碼。在允許連線之前，您的密碼和TOTP必須正確。

配置pi

如果您通常使用SSH連線到Pi上，那麼它很可能是一個無頭系統，因此我們將透過SSH連線配置它。

建立兩個SSH連線最安全：一個用於配置和測試，另一個用作安全網。這樣，如果將自己鎖定在Pi之外，第二個活動SSH連線仍然處於活動狀態。更改SSH設定不會影響正在進行的連線，因此可以使用第二個設定來反轉任何更改並糾正這種情況。

如果最壞的情況發生了，並且您透過SSH被完全鎖定，您仍然可以將Pi連線到監視器、鍵盤和滑鼠，然後登入到常規會話。也就是說，你仍然可以登入，只要你的Pi可以驅動顯示器。但是，如果不能，您確實需要保持安全網SSH連線處於開啟狀態，直到您驗證了雙因素身份驗證正在工作。

當然，最終的制裁措施是將作業系統重新整理到Pi的micro-SD卡上，但讓我們儘量避免這種情況。

首先，我們需要建立到Pi的兩個連線。兩個命令都採用以下形式：

這個Pi的名稱是“看門狗”，但是您將鍵入您的名稱。如果您更改了預設使用者名稱，也可以使用它；我們的使用者名稱是“pi”

請記住，為了安全起見，請在不同的終端視窗中鍵入此命令兩次，以便您有兩個到Pi的連線。然後，最小化其中一個，這樣它就不會礙事，也不會被意外關閉。

連線後，您將看到問候語。提示符將顯示使用者名稱（在本例中為“pi”）和pi的名稱（在本例中為“看門狗”）。

您需要編輯“sshd\u config”檔案。我們將在nano文字編輯器中執行此操作：

滾動檔案直到看到以下行：

將“否”替換為“是”

按Ctrl+O將更改儲存在nano中，然後按Ctrl+X關閉檔案。使用以下命令重新啟動SSH守護程式：

您需要安裝googleauthenticator，它是一個可**的身份驗證模組（PAM）庫。應用程式（SSH）將呼叫Linux PAM介面，該介面將找到相應的PAM模組來為所請求的身份驗證型別提供服務。

鍵入以下內容：

安裝應用程式

googleauthenticator應用程式可用於iPhone和Android，因此只需為您的**安裝相應的版本即可。您還可以使用Authy和其他支援此類驗證程式碼的應用程式。

配置雙因素身份驗證

在透過SSH連線到Pi時要使用的帳戶中，執行以下命令（不要包含sudo字首）：

將詢問您是否希望身份驗證令牌基於時間；按Y，然後按Enter。

生成了一個快速響應（QR）碼，但它被置亂了，因為它比80列終端視窗寬。將視窗拖得更寬以檢視程式碼。

在二維碼下面你還會看到一些安全碼。這些檔案被寫入一個名為“.google\u authenticator”的檔案中，但您現在可能想複製它們。如果您失去了獲取TOTP的能力（例如，如果您丟失了**），您可以使用這些程式碼進行身份驗證。

你必須回答四個問題，第一個是：

按Y鍵，然後按Enter鍵。

下一個問題是，是否要防止在30秒的視窗內多次使用同一程式碼。

按Y鍵，然後按Enter鍵。

第三個問題是，您是否希望擴大TOTP代幣的接受視窗。

按N鍵回答此問題，然後按Enter鍵。

最後一個問題是：“是否要啟用速率限制？”

鍵入Y，然後按回車鍵。

您將返回到命令提示符。如有必要，將終端視窗拖得更寬和/或在終端視窗中向上滾動，以便可以看到整個二維碼。

在**上開啟authenticator應用程式，然後按螢幕右下角的加號（+）。選擇“掃描二維碼”，然後在終端視窗中掃描二維碼。

一個新的條目將出現在以Pi的主機名命名的authenticator應用程式中，並且一個六位數的TOTP程式碼將列在它下面。它顯示為兩組三位數字以便於閱讀，但您必須鍵入一個六位數字。

程式碼旁邊的動畫圓圈表示程式碼有效的時間：一個完整的圓圈表示30秒，一個半圓表示15秒，依此類推。

把它們聯絡起來

我們還有一個檔案要編輯。我們必須告訴SSH要使用哪個PAM身份驗證模組：

在檔案頂部附近鍵入以下行：

您還可以選擇何時需要TOTP：

• 輸入密碼後：在“@include common auth”下面鍵入前幾行，如上圖所示。
• 在要求您輸入密碼之前：請鍵入“@include common auth”上面的前幾行

注意“pam\u google”中使用的下劃線_驗證器.so，”而不是前面我們在apt get命令中使用的連字元（-）來安裝模組。

按Ctrl+O將更改寫入檔案，然後按Ctrl+X關閉編輯器。我們需要最後一次重新啟動SSH，然後我們就完成了：

關閉此SSH連線，但在驗證下一步之前，請保持另一個安全網SSH連線執行。

確保**上的authenticator應用已開啟並準備就緒，然後開啟到Pi的新SSH連線：

你應該被要求輸入密碼，然後輸入密碼。從你的**輸入密碼，數字之間不要有空格。就像你的密碼一樣，它不會在螢幕上顯示。

如果一切都按計劃進行，應該允許您連線到Pi；如果沒有，請使用您的安全網SSH連線來檢查前面的步驟。

總比後悔安全

你注意到上面“safe”中的“r”了嗎？

事實上，現在連線到樹莓圓周率時比以前更安全，但沒有什麼是百分之百安全的。有一些方法可以繞過雙因素身份驗證。這些技術依賴於社會工程、中間人攻擊和端點人攻擊、SIM卡交換以及其他高階技術，很顯然，我們將不在這裡描述這些技術。

那麼，如果這一切都不完美，為什麼還要費心呢？好吧，同樣的原因，當你離開的時候你會鎖上你的前門，即使有人會撬鎖，但大多數人不會。