Der Raspberry Pi ist jetzt überall, das ist, warum es gefangen das Auge der Bedrohung, Akteure und Cyber-kriminellen. Wir zeigen Ihnen, wie Sie sicher Ihre Pi mit zwei-Faktor-Authentifizierung.
Die Erstaunliche Raspberry Pi
Der Raspberry Pi ist ein single-board-computer. Es startete in Großbritannien im Jahr 2012 mit der Absicht, immer Kinder zu basteln, zu erstellen, und den code lernen. Die ursprüngliche form-Faktor wurde ein credit-card-sized board-angetrieben von einem Handy-Ladegerät.
Es bietet HDMI-Ausgang, USB-ports, Netzwerk-Konnektivität, und läuft unter Linux. Später Ergänzungen der Linie enthalten, noch kleinere Versionen, die entworfen, um aufgenommen werden in die Produkte, oder führen Sie als headless-Systemen. Die Preise reichen von $5 für die minimalistische Pi Null, bis zu $75 für die Pi-4 B/8 GB.
Der Erfolg ist unglaublich; über 30 Millionen dieser kleinen Computern auf der ganzen Welt verkauft. Hobbyisten getan haben erstaunliche und inspirierende Dinge mit Ihnen, darunter schwebend ein an den Rand des Weltraums und zurück an einem Ballon.
Ach, einmal eine computing-Plattform wird ausreichend verbreitet es unweigerlich zieht die Aufmerksamkeit der Cyberkriminellen. Es ist schrecklich zu denken, wie viele Pi ‘ s sind mit dem Standard-Benutzer-Konto und Passwort. Wenn Ihr Pi ist öffentlich zugänglich und über das internet zugänglich durch die Secure Shell (SSH), es muss sicher sein.
Auch wenn Sie keine wertvollen Daten oder software auf dem Pi, und Sie müssen es schützen, weil Ihr Pi ist nicht das eigentliche Ziel—es ist nur ein Weg, um in Ihrem Netzwerk. Sobald eine Bedrohung der Schauspieler hat einen Fuß in einem Netzwerk, er werde pivot, um die anderen Geräte, in denen er tatsächlich interessiert.
Zwei-Faktor-Authentifizierung
Authentifizierung oder den Zugriff auf eine system—erfordert einen oder mehrere Faktoren. Faktoren kategorisiert werden, wie die folgenden:
- Etwas, das Sie kennen: zum Beispiel ein Kennwort oder -Satz.
- Etwas, das Sie haben: Wie ein Handy, physische token oder dongle.
- Etwas, was Sie sind: Ein biometrisches Lesen, wie ein Fingerabdruck oder Netzhaut-scan.
Multifaktor-Authentifizierung (MFA) ist ein Passwort erforderlich, und ein oder mehr Elemente aus den anderen Kategorien. Für unser Beispiel verwenden wir ein Passwort und ein Handy. Das Handy wird ein Google-authenticator-app und der Pi läuft ein Google-Authentifizierungs-Modul.
Eine Handy-app in Verbindung mit Ihren Pi durch Scannen eines QR-Codes. Dies geht einige Samen Informationen auf Ihrem Handy aus den Pi, wodurch Ihre Anzahl-generation-algorithmen erzeugen die gleichen codes gleichzeitig. Die codes bezeichnet man auch als time-based one-time passwords (TOTP).
Wenn es eine Verbindungsanforderung erhält, Ihr Pi-erzeugt einen code. Verwenden Sie die Google authenticator app auf Ihrem Handy zu sehen, den aktuellen code und anschließend Ihre Pin werden Sie aufgefordert, Ihr Kennwort und Authentifizierung code. Sowohl Ihr Kennwort als auch die TOTP-müssen korrekt sein, bevor Ihnen erlaubt wird sich zu verbinden.
Konfigurieren des Pi
Wenn Sie in der Regel SSH auf deinem Pi, ist es wahrscheinlich, es ist ein headless-system, also müssen wir es konfigurieren, über eine SSH-Verbindung.
Es ist am sichersten, machen zwei SSH-verbindungen: eine zu tun, das konfigurieren und testen, und andere, um ein Sicherheitsnetz. Auf diese Weise, wenn Sie sich selbst aussperren von deinem Pi, du wirst noch die zweite aktive SSH-Verbindung aktiv ist. Ändern der SSH-Einstellungen wirken sich nicht auf eine in-progress-Verbindung, so können Sie die zweite zu reverse-änderungen und Abhilfe zu schaffen.
Wenn das Schlimmste passiert, und du bist komplett gesperrt werden, per SSH, werden Sie noch in der Lage sein, um verbinden Sie Ihren Pi zu einem monitor, Tastatur und Maus, und dann melden Sie sich zu einer regulären Sitzung. Das heißt, Sie können sich noch anmelden, solange Ihr Pi-fahren kann ein monitor. Wenn es nicht kann, jedoch, Sie wirklich brauchen, um zu halten das Sicherheitsnetz SSH-Verbindung offen, bis Sie überprüft haben, dass zwei-Faktor-Authentifizierung arbeitet.
Die ultimative Sanktion, die, natürlich, ist die reflash das Betriebssystem auf den Pi mit einer micro SD-Karte, aber lassen Sie uns versuchen, dies zu vermeiden.
Erstens, wir müssen unsere zwei verbindungen zum Pi. Beide Befehle nehmen die folgende form an:
ssh pi@watchdog.local
Der name dieses Pi ist “watchdog”, aber Sie geben Sie den Namen getauscht. Wenn Sie geändert haben, Sie den Standard-Benutzernamen verwenden, dass, auch; die unsrige ist “pi.”
Denken Sie daran, für die Sicherheit verwenden, geben Sie diesen Befehl zweimal in verschiedenen terminal-Fenstern, so dass Sie zwei verbindungen zu Ihrem Pi. Dann minimieren Sie einer von Ihnen, so ist es aus dem Weg ist und nicht versehentlich geschlossen.
Nachdem Sie eine Verbindung herstellen, sehen Sie die Begrüßung. Die Eingabeaufforderung zeigt den Benutzernamen (in diesem Fall “pi”), und der name des Pi (in diesem Fall “watchdog”).
Sie Bearbeiten müssen, müssen Sie die “sshd_config” Datei. Wir werden dies in den nano-text-editor:
sudo nano /etc/ssh/sshd_config
Blättern Sie durch die Datei, bis Sie finden Sie unter die folgende Zeile ein:
ChallengeResponseAuthentication no
Ersetzen Sie das “Nein” mit “ja”.
Drücken Sie Strg+O zum speichern von änderungen in nano, und drücken Sie dann Strg+X schließt die Datei. Mit dem folgenden Befehl starten Sie den SSH-daemon:
sudo systemctl starten Sie ssh neu
Sie müssen installieren Sie die Google authenticator, die eine Pluggable Authentication Module (PAM) – Bibliothek. Die Anwendung (SSH) wird, rufen Sie die Linux-PAM-Schnittstelle, und die Schnittstelle findet auch die entsprechenden PAM-Modul, um die Art der Authentifizierung angefordert wird.
Geben Sie den folgenden:
sudo apt-get install libpam-google-authenticator
Installieren Sie die App
Der Google Authenticator-app ist verfügbar für iPhone und Android, also einfach installieren Sie die entsprechende version für Ihr Handy. Sie können auch Authy und anderen apps, die unterstützen diese Art der authentication code.
Konfigurieren Der Zwei-Faktor-Authentifizierung
In das Konto, das Sie verwenden werden, wenn Sie eine Verbindung zum Pi per SSH, führen Sie den folgenden Befehl ein (schließen Sie nicht den sudo prefix):
google-authenticator
Sie werden gefragt, ob Sie möchten, dass die Authentifizierungs-Token zu Zeit-Basis; drücken Sie Y, und drücken Sie dann die EINGABETASTE.
Ein Quick Response (QR -) code generiert, aber es ist verschlüsselt, weil es breiter als die 80-Spalten-terminal-Fenster. Ziehen Sie das Fenster breiter wird, sehen Sie den code.
Sie sehen auch einige security-codes unter dem QR-code. Diese aber sind geschrieben, um eine Datei namens “.google_authenticator,” aber möchten Sie vielleicht, um eine Kopie von Ihnen jetzt. Wenn Sie jemals verlieren die Fähigkeit zu erhalten, eine TOTP (wenn Sie Ihr Handy verlieren, zum Beispiel), können Sie diese codes verwenden, um sich zu authentifizieren.
Sie müssen Antworten auf vier Fragen, von denen die erste ist:
Willst du mir aktualisieren Sie Ihr “/home/pi/.google_authenticator” – Datei? (y/n)
Drücken Sie Y, und drücken Sie dann die EINGABETASTE.
Die nächste Frage fragt, ob Sie möchten, um zu verhindern, dass mehrere Nutzungsmöglichkeiten der gleiche code in einem 30-Sekunden-Fenster.
Drücken Sie Y, und drücken Sie dann die EINGABETASTE.
Die Dritte Frage fragt, ob Sie möchten, erweitern Sie das Fenster der Akzeptanz für die TOTP-Token.
Drücken Sie N, in Antwort auf diese, und drücken Sie dann die EINGABETASTE.
Die Letzte Frage ist: “Tun Sie aktivieren möchten, rate-Begrenzung?”
Geben Sie Y ein, und drücken Sie dann die EINGABETASTE.
Sie sind zurückgekehrt, um die Eingabeaufforderung. Wenn nötig, ziehen Sie das terminal-Fenster breiter und/oder Blättern Sie nach oben in das terminal-Fenster, so können Sie die gesamte QR-code.
Auf Ihrem Handy, öffnen Sie die Google authenticator app, und drücken Sie dann die plus-Zeichen (+) in der unteren rechten Ecke des Bildschirms. Wählen Sie “Scan QR Code” und Scannen Sie dann den QR-code in das terminal-Fenster.
Ein neuer Eintrag erscheint in der authenticator-app, benannt nach dem Hostnamen des Pi, und eine sechs-stellige TOTP-Codes aufgelistet unter ihm. Es ist dargestellt, wie zwei Gruppen von drei Ziffern um das Lesen einfacher, aber Sie müssen es als eine sechs-stellige Zahl.
Ein animierter Kreis neben dem code, der anzeigt, wie lange der code gültig sein wird: ein voller Kreis bedeutet 30 Sekunden, eine halbe Kreis bedeutet, dass Sie 15 Sekunden, und so weiter.
Verknüpfen Sie Alle Zusammen
Wir haben noch eine Datei zu Bearbeiten. Wir haben zu sagen, SSH die PAM-Authentifizierung-Modul zu verwenden:
sudo nano /etc/pam.d/sshd
Geben Sie die folgenden Zeilen in der Nähe der Spitze der Datei:
#2FA
auth erforderlich pam_google_authenticator.so
Sie können auch wählen, wenn Sie möchten, werden gebeten, bei der TOTP:
- Nachdem Sie Ihr Passwort eingegeben: Geben Sie den vorhergehenden Zeilen unterhalb von “@include common-auth”, wie in gezeigt das Bild oben.
- Bevor Sie nach Ihrem Kennwort gefragt: Geben Sie den vorherigen Zeilen weiter oben “@include common-auth.”
Beachten Sie die Unterstriche (_) verwendet in “pam_google_authenticator.also,” anstatt der Bindestriche ( – ), die wir früher mit dem Befehl apt-get zu installieren das Modul.
Drücken Sie Strg+O zum schreiben der änderungen auf die Datei, und drücken Sie dann Strg+X den editor schließen. Wir müssen starten Sie SSH neu ein letztes mal, und dann sind wir fertig:
sudo systemctl starten Sie ssh neu
Schließen Sie diese SSH-Verbindung, aber lassen Sie die anderen safety-net-SSH-Verbindung laufen, bis wir überprüft haben diesen nächsten Schritt.
Stellen Sie sicher, dass die authenticator-app offen ist und bereit, auf Ihrem Handy, und öffnen Sie eine neue SSH Verbindung zum Pi:
ssh pi@watchdog.local
Sollten Sie nach Ihrem Passwort gefragt, und dann für den code. Geben Sie den code von Ihrem Handy, ohne Leerzeichen zwischen den zahlen. Wie Ihr Passwort, ist es nicht im Klartext auf dem Bildschirm.
Wenn alles nach plan geht, sollten Sie gestattet sein, die Verbindung zum Pi; wenn nicht, verwenden Sie Ihre safety-net-SSH-Verbindung zu überprüfen Sie die vorherigen Schritte.
Besser, Sicherer Als Nachsicht
Haben Sie bemerkt, dass das “r” in “sicherer” vor?
In der Tat, Sie sind jetzt sicherer als Sie vorher waren, wenn eine Verbindung zu einem Raspberry Pi, aber nichts ist jemals zu 100 Prozent sicher. Es gibt Möglichkeiten, zu umgehen zwei-Faktor-Authentifizierung. Diese verlassen sich auf social-engineering -, man-in-the-middle und man-in-the-endpoint-Attacken, SIM-swapping und andere fortgeschrittene Techniken, die, offensichtlich, wir werden nicht hier zu beschreiben.
Also, warum die Mühe mit all dies, wenn es nicht perfekt ist? Gut, aus dem gleichen Grund sperren Sie Ihre Tür, wenn Sie verlassen, obwohl es Menschen gibt, die pick-sperren—die meisten können es nicht.
LESEN SIE WEITER
- › So richten Sie die Zwei-Faktor-Authentifizierung auf einem Raspberry Pi
- › Prominente Gefragt: Was Ist Cameo?
- › Wie Schnell Zeigen Sie Ihren Desktop für Windows 10
- › Wie zu Spiel die Freigabe auf dem Nintendo Wechseln
- › Wie 23andMe DNA Test hat Mir Geholfen, zu Entwirren ein Geheimnis der Familie