De Raspberry Pi is nu overal, dat is waarom het de aandacht getrokken van dreigingen en cybercriminelen. We tonen u hoe u veilig uw Pi met twee-factor authenticatie.
De Geweldige Raspberry Pi
De Raspberry Pi is een single-board computer. Sinds de lancering in het verenigd koninkrijk in 2012 met de opzet van het krijgen van kinderen om te knutselen met, maken en leren code. De oorspronkelijke vorm factor was een credit-card-formaat raad, aangedreven door een telefoonlader.
Het biedt HDMI-uitgang, USB-poorten, netwerk connectiviteit, en draait op Linux. Na de toevoegingen aan de lijn opgenomen, zelfs kleinere versies ontworpen om te worden verwerkt in producten of uitgevoerd zoals headless systemen. Prijzen variëren van $5 voor de minimalistische Pi Nul, $75 voor de Pi 4 B/8 GB.
Het succes is ongelooflijk; meer dan 30 miljoen van deze kleine computers hebben wereldwijd verkocht. Hobbyisten hebben gedaan verbazingwekkende en inspirerende dingen met ze, zoals drijvende één aan de rand van de ruimte en terug op een ballon.
Ach, een keer een platform wordt voldoende wijdverbreid het onvermijdelijk trekt de aandacht van cybercriminelen. Het is vreselijk om te bedenken hoe veel Pi ‘ s worden met de standaard gebruikersnaam en een wachtwoord. Als uw Pi is voor het publiek zichtbare en toegankelijke van het internet met Secure Shell (SSH), het veilig moeten zijn.
Zelfs als u geen waardevolle gegevens of software op uw Pi die u nodig hebt om het te beschermen omdat uw Pi niet het eigenlijke doel—het is gewoon een manier om te krijgen in uw netwerk. Zodra een bedreiging acteur heeft een voet aan de grond in een netwerk, en hij zal de spil naar de andere apparaten in waar hij eigenlijk in geïnteresseerd.
Twee-Factor Authenticatie
Verificatie—of het verkrijgen van toegang tot een systeem vereist een of meer factoren. De factoren zijn onderverdeeld over de volgende onderwerpen:
- Iets wat je weet: zoals een wachtwoord of -zin.
- Iets dat je hebt: Zoals een mobiele telefoon, fysieke token of dongle.
- Iets wat je bent: Een biometrische lezen, zoals een vingerafdruk of retinal scan.
Voor Multifactor-verificatie (MFA) is een wachtwoord vereist, en een of meer items uit de andere categorieën. Voor ons voorbeeld gaan we voor het gebruik van een wachtwoord en een mobiele telefoon. De mobiele telefoon zal een Google authenticator-app en de Pi zal een Google-authenticatie module.
Een mobiele telefoon app is gekoppeld aan uw Pi door het scannen van een QR-code. Dit gaat een deel van het zaad informatie om uw mobiele telefoon van de Pi, zodat hun aantal-generatie algoritmes voor het produceren van dezelfde codes tegelijk. De codes worden aangeduid als op basis van tijd, one-time passwords (TOTP).
Bij het ontvangen van een verbinding verzoek, uw Pi genereert een code. U gebruikt de authenticator-app op uw telefoon om de huidige code in en vervolgens uw Pi zal om je wachtwoord vragen en verificatie code. Zowel uw wachtwoord en de TOTP moet correct zijn voordat je het toegestaan is om te verbinden.
Het configureren van de Pi
Als u meestal SSH op je Pi, het is waarschijnlijk het is een onthoofde systeem, dus we configureren via een SSH verbinding.
Het is het veiligst om twee SSH verbindingen: doen het configureren en testen, en een ander om te fungeren als een vangnet. Op deze manier, als u het vergrendelen van uw Pi, zult u nog steeds de tweede actieve SSH-verbinding actief is. Het veranderen van SSH-instellingen geen invloed hebben op een in-progress-verbinding, zodat u kunt gebruik maken van de tweede naar de omgekeerde veranderingen en de situatie te verhelpen.
Als het ergste gebeurt en u bent volledig vergrendeld via SSH, u zult nog steeds in staat om verbinding te maken van uw Pi naar een monitor, toetsenbord en muis, en zich vervolgens aanmelden bij een reguliere sessie. Dat is, u kunt zich nog steeds aanmelden, zo lang als uw Pi kan een monitor. Als het niet kan, maar je echt nodig om te houden van de veiligheid van de netto SSH verbinding te openen totdat u hebt gecontroleerd dat de twee-factor authenticatie werkt.
De ultieme sanctie is natuurlijk om te reflash het besturingssysteem op de Pi ‘ s micro SD kaart, maar laten we proberen dat te vermijden.
Eerst moeten we ervoor zorgen dat onze twee verbindingen naar de Pi. Beide commando ‘ s hebben de volgende vorm:
ssh pi@watchdog.local
De naam van deze Pi is “watchdog”, maar u zult typ de naam in plaats van jou. Als u hebt gewijzigd met de standaard gebruikersnaam, een gebruik dat ook; die van ons is “pi.”
Vergeet niet, voor de veiligheid, typ de volgende opdracht twee keer in verschillende terminal windows, zodat u twee verbindingen tot uw Pi. Dan, het minimaliseren van één van hen, dus het is uit de weg en niet per ongeluk worden gesloten.
Nadat u verbinding hebt gemaakt, ziet u de begroeting. De aanwijzing zal toon de gebruikersnaam (in dit geval “pi”), en de naam van de Pi (in dit geval “watchdog”).
U nodig hebt om het te bewerken “sshd_config” bestand. We zullen dat doen in de nano tekst editor:
sudo nano /etc/ssh/sshd_config
Blader door het bestand totdat u de volgende regel:
Uitschakelt geen
Vervang de “nee” met “ja”.
Druk op Ctrl+O om uw wijzigingen op te slaan in de nano, en druk vervolgens op Ctrl+X om het bestand te sluiten. Gebruik de volgende opdracht om opnieuw te starten van de SSH daemon:
sudo systemctl start ssh
U hoeft te installeren van de Google authenticator, dat is een Pluggable Authentication Modules (PAM) – bibliotheek. De toepassing (SSH) zal de oproep van de Linux-PAM-interface en de interface vindt de juiste PAM module in dienst van het type verificatie dat wordt aangevraagd.
Typ het volgende:
sudo apt-get install libpam-google authenticator
Het installeren van de App
De Google Authenticator-app is beschikbaar voor iPhone en Android, dus gewoon installeer de juiste versie voor uw mobiele telefoon. U kunt ook gebruik maken van Authy en andere apps die ondersteuning bieden voor dit type verificatie code.
Het Configureren Van Twee-Factor Authenticatie
In de account die u gebruikt wanneer u verbinding maakt met de Pi via SSH, voer je het volgende commando (niet de sudo voorvoegsel):
google authenticator
U zult gevraagd worden of u wilt dat de authenticatie tokens worden op basis van tijd; druk op Y, en vervolgens druk op Enter.
Een Quick Response (QR) – code wordt gegenereerd, maar het is gecodeerd, omdat het breder is dan de 80-kolom terminal venster. Sleep het venster breder om de code te bekijken.
U ziet ook een aantal security codes onder de QR-code. Deze zijn geschreven naar een bestand met de naam “.google_authenticator,” maar je wilt misschien een kopie te maken van wat ze nu. Als u ooit verlies van het vermogen tot het verkrijgen van een TOTP (als je verliest uw mobiele telefoon, bijvoorbeeld), kunt u deze codes gebruiken om te verifiëren.
U moet antwoord geven op vier vragen, waarvan de eerste is:
Wilt u mij voor het bijwerken van uw “/home/pi/.google_authenticator” bestand? (y/n)
Druk op J en druk op Enter.
De volgende vraag wordt u gevraagd of u wilt voorkomen dat de verschillende toepassingen van de code binnen 30 seconden aan het venster.
Druk op J en druk op Enter.
De derde vraag wordt u gevraagd of u wilt een uitbreiding van het venster van de aanvaarding van de TOTP-tokens.
Druk op N in antwoord op deze, en druk vervolgens op Enter.
De laatste vraag is: “wilt u voor het inschakelen van snelheidsbeperkende?”
Typ J en druk op Enter.
U bent teruggekeerd naar de opdrachtprompt. Indien nodig, sleept u het terminal-venster breder en/of omhoog scrollen in het terminal venster, zodat je kunt zien dat de hele QR-code.
Op uw mobiele telefoon open de authenticator-app en druk op het plusteken (+) in de rechterbenedenhoek van het scherm. Selecteer “Scannen van een QR-Code,” en vervolgens scannen van de QR-code in het terminal venster.
Een nieuw item zal verschijnen in de authenticator-app vernoemd naar de hostnaam van de Pi, en een zes-cijferige TOTP-code vermeld eronder. Het is weergegeven als twee groepen van drie cijfers om het lezen makkelijker, maar je moet het als een getal van zes cijfers.
Een bewegende cirkel naast de code geeft aan hoeveel langer de code geldig is: een volledige cirkel betekent dat 30 seconden, een halve cirkel betekent dat 15 seconden, en zo verder.
Het Koppelen Van Het Allemaal Samen
We hebben nog een bestand om te bewerken. We hebben om te vertellen SSH die PAM authenticatie module te gebruiken:
sudo nano /etc/pam.d/sshd
Typ de volgende regels in de buurt van de top van het bestand:
#2FA
auth required pam_google_authenticator.zo
U kunt ook kiezen wanneer u wilt worden gevraagd voor de TOTP:
- Nadat u uw wachtwoord: Typ de vorige lijnen onder “@bevatten common-auth,” zoals getoond in de afbeelding hierboven.
- Voordat u wordt gevraagd om uw wachtwoord: Typ de vorige lijnen boven “@bevatten common-auth.”
Opmerking het underscores (_) in “pam_google_authenticator.dus, in plaats van de streepjes (-) zijn we eerder gebruikt met de apt-get commando om de module te installeren.
Druk op Ctrl+O om de veranderingen schrijven naar het bestand en drukt u vervolgens op Ctrl+X om de editor te sluiten. We moeten opnieuw SSH, voor de laatste keer, en dan zijn we klaar:
sudo systemctl start ssh
Sluit deze SSH-verbinding, maar laat de andere vangnet SSH verbinding te lopen totdat we hebben gecontroleerd, deze volgende stap.
Zorg ervoor dat de authenticator-app is open en klaar op uw mobiele telefoon, en open vervolgens een nieuw SSH verbinding door naar de Pi:
ssh pi@watchdog.local
Moet u worden gevraagd om uw wachtwoord, en vervolgens voor de code. Type de code van uw mobiele telefoon, zonder spaties tussen de cijfers. Zoals je wachtwoord, het is niet getoond op het scherm.
Als alles volgens plan verloopt, moet u worden toegestaan om verbinding te maken met de Pi; zo niet, gebruik uw vangnet SSH verbinding tot het herzien van de vorige stappen.
Beter Veiliger Dan Sorry
Heb je de “r” in “veiliger” boven?
Inderdaad, je bent nu veiliger is dan u eerder wanneer u verbinding maakt met een Raspberry Pi, maar niets is ooit 100 procent veilig. Er zijn manieren te omzeilen twee-factor authenticatie. Deze vertrouwen op ‘social engineering’, ‘ man-in-the-middle en man-op-de-eindpunt aanvallen, SIM wisselen, en andere geavanceerde technieken die, uiteraard, we zijn niet van plan om hier te beschrijven.
Dus, waarom zou je met dit alles als het niet perfect is? Goed, om dezelfde reden dat u een slot voor uw deur als u weggaat, ook al zijn er mensen die kunnen kiezen sluizen—de meeste kunnen dat niet.
LEES VERDER
- “Het Instellen van Twee-Factor Authenticatie op een Raspberry Pi
- “De beroemdheden op de Vraag: Wat Is een Cameo?
- “Hoe Snel de Show van Uw Bureaublad op Windows 10
- “Hoe Spel Deel op de Nintendo Schakelaar
- “Hoe 23andMe de DNA-Test heeft Me Geholpen Ontrafelen van een Geheime Familie