Как добавить безопасность MFA через терминал Raspberry Pi

Raspberry Pi – популярный одноплатный компьютер, который в последние годы стал повальным увлечением. Из-за его растущей популярности и широкого использования среди новичков-программистов и технических энтузиастов, он стал целью киберпреступников, которые делают то, что им нравится делать лучше всего: кибер-кражу. Как и в случае с обычными ПК-устройствами, которые мы защищаем многочисленными брандмауэрами и паролями, становится все более важным защитить ваше устройство Raspberry Pi с помощью аналогичной многогранной защиты.

Raspberry Pi

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Многофакторная проверка подлинности работает путем объединения двух или более из перечисленных ниже факторов, чтобы предоставить вам доступ к вашей учетной записи или устройству. Существуют три основные категории, из которых следует предоставлять информацию о предоставлении доступа: что-то, что вы знаете, что-то, что у вас есть, и что-то, что вы есть. Первой категорией может быть пароль или пин-код, который вы установили для своей учетной записи или устройства. В качестве дополнительного уровня защиты от вас может потребоваться предоставить что-то из второй категории, например PIN-код, сгенерированный системой, который отправляется на ваш смартфон или создается на другом вашем устройстве. В качестве третьей альтернативы вы также можете включить что-то из третьей категории, состоящее из физических ключей, таких как биометрическая идентификация, которая включает распознавание лица, отпечаток большого пальца и сканирование сетчатки глаза в зависимости от способности вашего устройства выполнять это сканирование.

Для этой настройки мы будем использовать два наиболее распространенных режима аутентификации: ваш установленный пароль и одноразовый токен, сгенерированный через ваш смартфон. Мы интегрируем оба шага с Google и получим ваш пароль через приложение аутентификатора Google (которое заменяет необходимость получения SMS-кодов на ваш мобильный телефон).

Шаг 1. Получите приложение Google Authenticator

Приложение Google Authenticator в магазине Google Play.

Прежде чем мы начнем настраивать ваше устройство, давайте загрузим и установим приложение Google Authenticator на ваш смартфон. Зайдите в магазин приложений Apple, магазин Google Play или соответствующий магазин на любом устройстве, с которым вы работаете. Загрузите приложение Google Authenticator и дождитесь его установки. Также можно использовать другие приложения аутентификации, такие как аутентификатор Microsoft, но в нашем руководстве мы будем использовать приложение аутентификатора Google.

Шаг 2. Настройка SSH-подключений

Устройства Raspberry Pi обычно работают по SSH, и мы также будем работать над настройкой нашей многофакторной аутентификации через SSH. Мы создадим два SSH-соединения для этого по следующей причине: мы не хотим, чтобы вы были заблокированы на своем устройстве, и в случае, если вы действительно заблокируете один поток, второе даст вам еще один шанс вернуться. Это просто подстраховка, которую мы создаем для вас: пользователь, владеющий устройством. Мы будем поддерживать этот второй поток сети безопасности на протяжении всего процесса настройки, пока не будет завершена вся настройка и мы не убедимся, что ваша многофакторная аутентификация работает должным образом. Если вы выполните следующие шаги вдумчиво и внимательно, проблем с настройкой аутентификации возникнуть не должно.

Интерфейс Raspberry Pi.

Запустите два окна терминала и введите в каждом следующую команду. Это необходимо для параллельной настройки двух потоков.

ssh имя пользователя@piname.local

Вместо имени пользователя введите имя пользователя вашего устройства. Вместо имени пи введите имя устройства пи.

После нажатия клавиши ввода вы должны получить приветственное сообщение в обоих окнах терминала, в котором будет отображаться имя вашего устройства и ваше имя пользователя.

Далее мы отредактируем файл sshd_config. Для этого введите следующую команду в каждом окне. Не забудьте выполнить все шаги, описанные в этом разделе, в обоих окнах параллельно.

sudo nano / etc / ssh / sshd_config

Прокрутите вниз и найдите, где написано: ChallengeResponseAuthentication no

Измените «нет» на «да», набрав это вместо этого. Сохраните изменения, нажав [Ctrl]+[O] а затем выйдите из окна, нажав [Ctrl]+[X]. Опять же, сделайте это для обоих окон.

Перезапустите терминалы и введите следующую команду в каждом, чтобы перезапустить демон SSH:

sudo systemctl перезапустить ssh

Наконец. Установите Google Authenticator в свою настройку, чтобы интегрировать с ним вашу систему. Для этого введите следующую команду:

sudo apt-get установить libpam-google-authentication

Теперь ваши потоки настроены, и до этого момента вы настроили свой аутентификатор Google как на своем устройстве, так и на смартфоне.

Шаг 3. Интеграция вашей многофакторной аутентификации с Google Authenticator

  1. Запустите свою учетную запись и введите следующую команду: google-authenticationator
  2. Введите «Y» для жетонов, зависящих от времени.
  3. Вытяните окно, чтобы увидеть весь сгенерированный QR-код, и отсканируйте его на своем смартфоне. Это позволит вам связать службу аутентификации Raspberry Pi с приложением для смартфона.
  4. Под QR-кодом будет отображаться несколько резервных кодов. Запишите их или сфотографируйте, чтобы оставить их в запасе на случай, если вы не сможете проверить свою многофакторную аутентификацию через приложение Google Authenticator и в конечном итоге вам понадобится резервный код для входа. Храните их в безопасности и не потерять их.
  5. Теперь вам будет предложено четыре вопроса, и вот как вам нужно на них ответить, введя «Y», чтобы ответить «да», или «N», если нет. (Примечание: приведенные ниже вопросы цитируются непосредственно с цифрового терминала Raspberry Pi, чтобы вы точно знали, с какими вопросами вы столкнетесь и как на них ответить.)Приложение для смартфонов Google Authenticator на iOS. Учетные записи были заблокированы по соображениям безопасности, а также были перемещены и изменены цифры кода безопасности.
    • «Вы хотите, чтобы я обновил ваш файл« /home/pi/.google_authenticator »?» (да / нет): введите «Д»
    • «Вы хотите запретить многократное использование одного и того же токена аутентификации? Это ограничивает вас одним входом примерно каждые 30 секунд, но увеличивает ваши шансы заметить или даже предотвратить атаки типа «злоумышленник посередине» (да / нет): «Введите« Д »
    • «По умолчанию новый токен генерируется мобильным приложением каждые 30 секунд. Чтобы компенсировать возможный временной сдвиг между клиентом и сервером, мы разрешаем дополнительный токен до и после текущего времени. Это допускает разрыв во времени между сервером аутентификации и клиентом до 30 секунд. Если у вас возникли проблемы с плохой синхронизацией времени, вы можете увеличить размер окна с 3 разрешенных кодов по умолчанию (один предыдущий код, один текущий код, следующий код) до 17 разрешенных кодов (8 предыдущих кодов, один текущий код, следующие 8 кодов). Это допускает разницу во времени между клиентом и сервером до 4 минут. Вы хотите это сделать? (да / нет): “Введите” N “
    • «Если компьютер, на который вы входите, не защищен от попыток грубой силы, вы можете включить ограничение скорости для модуля аутентификации. По умолчанию это ограничивает злоумышленников не более 3 попыток входа в систему каждые 30 секунд. Вы хотите включить ограничение скорости? (y / n): “Введите” Y “
  6. Теперь запустите приложение Google Authenticator на своем смартфоне и нажмите значок плюса в верхней части экрана. Отсканируйте QR-код, отображаемый на вашем устройстве Pi, чтобы соединить два устройства. Теперь вы будете отображаться с кодами аутентификации круглосуточно, когда они вам понадобятся для входа в систему. Вам не нужно будет генерировать код. Вы можете просто запустить приложение и ввести то, которое отображается в данный момент.

Шаг 4: Настройка модуля аутентификации PAM с вашим SSH

Запустите свой терминал и введите следующую команду: sudo nano /etc/pam.d/sshd

Введите следующую команду, как показано:

# 2Требуется аутентификация для аутентификации pam_google_authenticator.so

Если вы хотите, чтобы вас попросили ввести ключ доступа через приложение Google Authenticator перед вводом пароля, введите следующую команду перед ранее введенной командой:

@include common-auth

Если вы хотите, чтобы вас попросили ввести ключ доступа после ввода пароля, введите ту же команду, но введите ее после предыдущего набора команд # 2FA. Сохраните изменения, нажав [Ctrl]+[O] а затем выйдите из окна, нажав [Ctrl]+[X].

Шаг 5: Закройте параллельный поток SSH

Теперь, когда вы закончили настройку многофакторной аутентификации, вы можете закрыть один из параллельных потоков, которые у нас были. Для этого введите следующую команду:

sudo systemctl перезапустить ssh

Ваш второй поток резервной сети безопасности все еще работает. Это будет продолжаться до тех пор, пока вы не убедитесь, что ваша многофакторная аутентификация работает правильно. Для этого запустите новое SSH-соединение, набрав:

ssh имя пользователя@piname.local

Вместо имени пользователя введите имя пользователя вашего устройства. Вместо имени пи введите имя устройства пи.

Теперь будет выполнена процедура входа в систему. Введите свой пароль, а затем введите код, отображаемый в вашем приложении Google Authenticator в это время. Будьте осторожны, чтобы сделать оба шага за тридцать секунд. Если вам удалось войти в систему, вы можете вернуться и повторить предыдущий шаг, чтобы закрыть параллельный поток сети безопасности, который у нас был запущен. Если вы выполнили все шаги правильно, теперь вы сможете возобновить многофакторную аутентификацию на своем устройстве Raspberry Pi.

Заключительные слова

Как и в случае любого процесса аутентификации, который вы запускаете на любом устройстве или учетной записи, эти дополнительные факторы делают его более безопасным, чем раньше, но не делают его абсолютно безопасным. Будьте осторожны при использовании вашего устройства. Обратите внимание на возможные мошенничества, фишинговые атаки и кибер-кражи, которым может подвергнуться ваше устройство. Защитите свое второе устройство, на котором вы настроили процесс получения кода, и сохраните его в безопасности. Это устройство понадобится вам каждый раз, когда вы вернетесь в вашу систему. Храните резервные коды в известном и безопасном месте на случай, если вы окажетесь в положении, когда у вас нет доступа к резервному устройству на смартфоне.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *