Il Raspberry Pi è ovunque ormai, che è il motivo per cui ha catturato l’attenzione di minaccia attori e criminali informatici. Vi mostreremo come proteggere il Pi con autenticazione a due fattori.
L’Incredibile Raspberry Pi
Il Raspberry Pi è un single-board computer. E ‘ stato lanciato nel regno UNITO nel 2012 con l’intento di ottenere i bambini a giocare, creare e imparare il codice. Originale fattore di forma è stato un formato carta di credito di bordo, alimentato da un caricatore del telefono.
Esso fornisce l’uscita HDMI, porte USB, connettività di rete, e gira con Linux. Poi aggiunte alla linea incluso, anche di piccole dimensioni progettato per essere incorporato in prodotti o esegui come headless sistemi. I prezzi vanno da $5 per i minimalisti Pi Zero, a $75 per il Pi 4 B/8 GB.
Il suo successo è stato incredibile; oltre 30 milioni di questi piccoli computer sono venduti in tutto il mondo. Hobbisti hanno fatto sorprendente e stimolante le cose con loro, tra cui galleggiante al bordo dello spazio, e di nuovo un palloncino.
Ahimè, una volta una piattaforma di calcolo diventa sufficientemente diffusa inevitabilmente attira l’attenzione dei criminali informatici. E ‘ terribile pensare a quante Pi sono utilizzando l’account utente predefinito e la password. Se il Pi è pubblico e accessibile da internet, Secure Shell (SSH), deve essere sicuro.
Anche se non hai dati importanti o software sul vostro Pi, è necessario per proteggere perché il Pi non è la destinazione effettiva—è solo un modo per entrare in rete. Una volta che una minaccia attore ha un punto d’appoggio in una rete, che sarà lui a perno per gli altri dispositivi in cui è realmente interessato.
L’Autenticazione A Due Fattori
Autenticazione o di accedere a un sistema richiede uno o più fattori. I fattori sono classificati come il seguente:
- Qualcosa si sa: Ad esempio una password o frase.
- Qualcosa di cui si dispone: Come un telefono cellulare, un token fisico, o dongle.
- Qualcosa che sono: Una lettura biometrica, come un’impronta digitale o la scansione della retina.
L’autenticazione a più fattori (MFA) richiede una password, e uno o più elementi da altre categorie. Per il nostro esempio, stiamo andando a utilizzare una password e cellulare. Il telefono cellulare per l’esecuzione di un applicazione Google authenticator e il Pi per l’esecuzione di un modulo di autenticazione di Google.
Un cellulare telefono app è collegato al tuo Pi con la scansione di un codice QR. Questo passa un po ‘ di seme informazioni per il tuo telefono cellulare da parte di Pi, assicurando il loro numero-algoritmi per la generazione di produrre gli stessi codici contemporaneamente. I codici sono definiti in base al tempo, one-time password (TOTP).
Quando riceve una richiesta di connessione, il Pi genera un codice. Si utilizza l’applicazione authenticator sul tuo telefono per vedere il codice corrente, e quindi Pi vi chiederà la vostra password e il codice di autenticazione. La password e il TOTP deve essere corretta prima di sei autorizzato a connettersi.
La configurazione di Pi
Se di solito SSH sul vostro Pi, è probabile che si tratta di un headless sistema, quindi dovremo configurare tramite una connessione SSH.
È più sicuro per fare due connessioni SSH: uno per fare la configurazione e test, e un altro ad agire come una rete di sicurezza. In questo modo, se si blocca te stesso fuori della vostra Pi, avrai ancora il secondo attivo la connessione SSH attivo. Modifica SSH impostazioni non influiscono in progresso di connessione, in modo che è possibile utilizzare il secondo per annullare le modifiche e porre rimedio alla situazione.
Se il peggio accade e sei completamente bloccato tramite SSH, sarete ancora in grado di collegare il vostro Pi di un monitor, la tastiera e il mouse, e poi accedere a una normale sessione di gioco. Che è, è ancora possibile accedere, purché il Pi può guidare un monitor. Se non può, tuttavia, si ha realmente bisogno di mantenere la rete di sicurezza connessione SSH aperto fino a quando hai verificato che l’autenticazione a due fattori è lavoro.
L’ultima sanzione, naturalmente, è quello di aggiornare la memoria del sistema operativo nel Pi micro SD card, ma cerchiamo di evitare che.
Primo, dobbiamo rendere le nostre due connessioni di Pi. Entrambi i comandi avere la seguente forma:
ssh pi@watchdog.local
Il nome di questo Pi è un “cane da guardia”, ma potrete digitare il nome del tuo invece. Se hai cambiato il nome utente predefinito, utilizzare anche questo; il nostro è “pi”.
Ricordo, per sicurezza, digitare questo comando due volte in diverse finestre di terminale in modo da avere due connessioni al Pi. Quindi, ridurre al minimo uno di loro, quindi è fuori strada e non verrà chiusa accidentalmente.
Dopo la connessione, vedrai il messaggio di saluto. Il messaggio verrà visualizzato il nome utente (in questo caso, “pi”), e il nome del Pi (in questo caso, il “cane da guardia”).
È necessario modificare il “sshd_config” file. Faremo in modo che il nano editor di testo:
sudo nano /etc/ssh/sshd_config
Scorrere il file fino a quando vedrete la seguente riga:
ChallengeResponseAuthentication no
Sostituire il “no” con “sì”.
Premere Ctrl+O per salvare le modifiche nel nano, e quindi premere Ctrl+X per chiudere il file. Utilizzare il seguente comando per riavviare il demone SSH:
sudo systemctl restart ssh
È necessario installare il Google authenticator, che è un PAM (Pluggable Authentication Module) biblioteca. L’applicazione (SSH) sarà chiamata Linux PAM interfaccia e l’interfaccia rileva l’appropriato modulo PAM per il servizio il tipo di autenticazione richiesta.
Digitare il seguente:
sudo apt-get install libpam-google authenticator
L’installazione di App
L’applicazione Google Authenticator è disponibile per iPhone e Android, quindi basta installare la versione appropriata per il tuo cellulare. È inoltre possibile utilizzare Authy e altre applicazioni che supportano questo tipo di codice di autenticazione.
Configurazione Dell’Autenticazione A Due Fattori
Nel conto, dovrai usare quando si collega al Pi via SSH, eseguire il comando riportato di seguito (non includere il sudo prefisso):
google authenticator
Ti verrà chiesto se si desidera che il token di autenticazione per essere in base al tempo; premere Y e poi premere Invio.
Una Risposta Rapida (QR) viene generato il codice, ma è criptato perché è più ampio di quello di 80 colonne finestra di terminale. Trascinare la finestra più ampia per vedere il codice.
Potrai anche vedere alcuni codici di sicurezza sotto il codice QR. Questi sono scritti in un file chiamato “.google_authenticator”, ma si potrebbe desiderare di fare una copia di loro ora. Se mai perdere la possibilità di ottenere un TOTP (se si perde il telefono cellulare, per esempio), è possibile utilizzare questi codici per l’autenticazione.
Si deve rispondere a quattro domande, la prima delle quali è:
Volete aggiornare il vostro “/home/pi/.google_authenticator” il file? (y/n)
Premere Y e poi premere Invio.
La domanda successiva chiede se si desidera impedire usi multipli dello stesso codice all’interno di una finestra di 30 secondi.
Premere Y e poi premere Invio.
Il terzo quesito chiede se si desidera ampliare la finestra di accettazione per il TOTP gettoni.
Premere N per rispondere a questa e quindi premere Invio.
L’ultima domanda è: “vuoi attivare la limitazione della velocità?”
Digitare Y e quindi premere Invio.
Sei tornato al prompt dei comandi. Se necessario, trascinare la finestra del terminale più ampia e/o di scorrimento nella finestra del terminale, in modo che si può vedere tutto il codice QR.
Sul vostro cellulare, aprire l’applicazione authenticator, e quindi premere il segno più (+) nella parte inferiore destra dello schermo. Selezionare “Scansione di un Codice QR,” e quindi eseguire la scansione del codice QR nella finestra del terminale.
Apparirà una nuova entrata in applicazione authenticator chiamato dopo il nome host del Pi, e a sei cifre TOTP codice verrà elencato sotto. È visualizzato come due gruppi di tre cifre per rendere la lettura più facile, ma è necessario digitare uno, numero di sei cifre.
Animato da un cerchio a fianco del codice, indica per quanto tempo il codice sarà valido: un cerchio completo per 30 secondi, un mezzo cerchio di 15 secondi, e così via.
Collegamento Tutto Insieme
Abbiamo un altro file da modificare. Dobbiamo dire SSH che PAM modulo di autenticazione per l’uso:
sudo nano /etc/pam.d/sshd
Digitare le seguenti righe nella parte superiore del file:
#2FA
auth required pam_google_authenticator.così
Si può anche scegliere quando si desidera che venga richiesta la TOTP:
- Dopo aver immesso la password: Digitare il precedente righe sotto “@include common-auth”, come mostrato nell’immagine sopra.
- Prima hai chiesto la password: Digitare il precedente righe sopra “@include common-auth.”
Nota i caratteri di sottolineatura ( _ ), usato in “pam_google_authenticator.così, piuttosto che i trattini (-) abbiamo usato in precedenza con il comando apt-get per installare il modulo.
Premere Ctrl+O per salvare le modifiche al file e quindi premere Ctrl+X per chiudere l’editor. Abbiamo bisogno di riavviare SSH per l’ultima volta, e poi abbiamo finito:
sudo systemctl restart ssh
Chiudere questa connessione SSH, ma lasciare l’altra rete di sicurezza connessione SSH in esecuzione fino a quando abbiamo verificato il prossimo passo.
Assicurarsi che l’applicazione authenticator è aperto e pronto sul tuo telefono cellulare, e quindi aprire una nuova connessione SSH al Pi:
ssh pi@watchdog.local
Si dovrebbe essere richiesto di immettere la password, e poi per il codice. Digitare il codice dal tuo telefono cellulare senza spazi tra i numeri. Come la vostra password, non sullo schermo.
Se tutto va secondo i piani, si dovrebbe essere autorizzati a connettersi al Pi; se non, utilizzare la vostra rete di sicurezza connessione SSH per rivedere i passaggi precedenti.
Meglio Sicuri Che Dispiaciuti
Avete notato la “r” in più “sicura” di cui sopra?
Infatti, ora sei più sicuro di quello che erano in precedenza durante la connessione a un Raspberry Pi, ma nulla è mai al 100 per cento sicuro. Ci sono modi per aggirare l’autenticazione a due fattori. Questi si basano sul social engineering, man-in-the-middle e uomo-a-la-endpoint attacchi, SIM di scambio, e altre tecniche avanzate che, ovviamente, non stiamo andando a descrivere qui.
Quindi, perché preoccuparsi di tutto questo se non è perfetto? Beh, per lo stesso motivo si blocca davanti alla porta di casa quando si esce, anche se ci sono persone che possono scassinare le serrature più non posso.
CONTINUA A LEGGERE
- “Come Sempre Mostra tutto il Url in Google Chrome
- “Come Impostare l’Autenticazione a Due fattori su un Raspberry Pi
- “Celebrità alla Domanda: che Cosa È il Cameo?
- “Come Rapidamente di visualizzare Il Desktop su Windows 10
- “Come Condividere il Gioco con il Nintendo Interruttore