So fügen Sie MFA-Sicherheit über Ihr Raspberry Pi-Terminal hinzu
Der Raspberry Pi ist ein beliebter Single-Board-Computer, der in den letzten Jahren zum Trend geworden ist. Aufgrund seiner wachsenden Beliebtheit und allgemeinen Verwendung bei Neulingen und Technikbegeisterten ist es zu einem Ziel für Cyberkriminelle geworden, das zu tun, was sie am liebsten tun: Cyberdiebstahl. Genau wie bei den normalen PC-Geräten, die wir mit zahlreichen Firewalls und Passwörtern schützen, wird es immer wichtiger, Ihr Raspberry Pi-Gerät auch mit einem ähnlichen facettenreichen Schutz zu schützen.
Die Multi-Faktor-Authentifizierung funktioniert, indem zwei oder mehr der folgenden Elemente kombiniert werden, um Ihnen Zugriff auf Ihr Konto oder Gerät zu gewähren. Die drei allgemeinen Kategorien, aus denen Informationen zur Gewährung des Zugriffs bereitgestellt werden, sind: etwas, das Sie kennen, etwas, das Sie haben, und etwas, das Sie sind. Die erste Kategorie kann ein Passwort oder ein PIN-Code sein, den Sie für Ihr Konto oder Gerät eingerichtet haben. Als zusätzliche Schutzschicht müssen Sie möglicherweise etwas aus der zweiten Kategorie bereitstellen, z. B. eine vom System generierte PIN, die an Ihr Smartphone gesendet oder auf einem anderen Gerät generiert wird, das Sie besitzen. Als dritte Alternative können Sie auch etwas aus der dritten Kategorie einbeziehen, das physische Schlüssel wie die biometrische Identifizierung umfasst, einschließlich Gesichtserkennung, Daumenabdruck und Netzhaut-Scan, abhängig von der Fähigkeit Ihres Geräts, diese Scans durchzuführen.
Für dieses Setup verwenden wir die beiden gängigsten Authentifizierungsmodi: Ihr festgelegtes Kennwort und ein einmaliges Token, das über Ihr Smartphone generiert wird. Wir werden beide Schritte in Google integrieren und Ihr Passwort über die Authentifizierungsanwendung von Google erhalten (die den Empfang von SMS-Codes auf Ihrem Handy ersetzt).
Schritt 1: Holen Sie sich die Google Authenticator-Anwendung
Bevor wir mit der Einrichtung Ihres Geräts beginnen, laden wir die Google Authenticator-App herunter und installieren sie auf Ihrem Smartphone. Besuchen Sie den Apple App Store, den Google Play Store oder den jeweiligen Store des Geräts, auf dem Sie arbeiten. Laden Sie die Google Authenticator-Anwendung herunter und warten Sie, bis die Installation abgeschlossen ist. Andere Authentifizierungsanwendungen wie der Authentifikator von Microsoft können ebenfalls verwendet werden. Für unser Lernprogramm verwenden wir jedoch die Authentifizierungsanwendung von Google.
Schritt 2: Einrichten Ihrer SSH-Verbindungen
Raspberry Pi-Geräte arbeiten normalerweise mit SSH und wir werden daran arbeiten, unsere Multi-Faktor-Authentifizierung auch über SSH zu konfigurieren. Wir werden aus folgendem Grund zwei SSH-Verbindungen erstellen, um dies zu tun: Wir möchten nicht, dass Sie von Ihrem Gerät ausgeschlossen werden. Falls Sie von einem Stream ausgeschlossen werden, bietet Ihnen der zweite eine weitere Möglichkeit, wieder einzusteigen Dies ist nur ein Sicherheitsnetz, das wir für Sie einrichten: den Benutzer, dem das Gerät gehört. Wir werden diesen zweiten Stream des Sicherheitsnetzes während des gesamten Einrichtungsprozesses beibehalten, bis die gesamte Einrichtung abgeschlossen ist und wir sichergestellt haben, dass Ihre Multi-Faktor-Authentifizierung ordnungsgemäß funktioniert. Wenn Sie die folgenden Schritte sorgfältig und sorgfältig ausführen, sollte es kein Problem geben, Ihre Authentifizierung einzurichten.
Starten Sie zwei Terminalfenster und geben Sie jeweils den folgenden Befehl ein. Hiermit werden die beiden Streams parallel eingerichtet.
Geben Sie anstelle des Benutzernamens den Benutzernamen Ihres Geräts ein. Geben Sie anstelle des Pi-Namens den Namen Ihres Pi-Geräts ein.
Nachdem Sie die Eingabetaste gedrückt haben, sollten Sie in beiden Terminalfenstern eine Begrüßungsnachricht erhalten, in der der Name Ihres Geräts und auch Ihr Benutzername angezeigt werden.
Als nächstes bearbeiten wir die Datei sshd_config. Geben Sie dazu in jedes Fenster den folgenden Befehl ein. Denken Sie daran, alle Schritte in diesem Abschnitt in beiden Fenstern parallel auszuführen.
sudo nano / etc / ssh / sshd_config
Scrollen Sie nach unten und finden Sie heraus, wo es steht: ChallengeResponseAuthentication-Nr
Ändern Sie das "Nein" in ein "Ja", indem Sie dies an seiner Stelle eingeben. Speichern Sie Ihre Änderungen, indem Sie [Strg] + [O] drücken, und schließen Sie das Fenster, indem Sie [Strg] + [X] drücken. Wiederholen Sie dies für beide Fenster.
Starten Sie die Terminals neu und geben Sie jeweils den folgenden Befehl ein, um den SSH-Daemon neu zu starten:
Zuletzt. Installieren Sie den Google Authenticator in Ihrem Setup, um Ihr System in das Setup zu integrieren. Geben Sie dazu den folgenden Befehl ein:
Ihre Streams wurden jetzt eingerichtet und Sie haben Ihren Google-Authentifikator bis zu diesem Zeitpunkt sowohl mit Ihrem Gerät als auch mit Ihrem Smartphone konfiguriert.
Schritt 3: Integrieren Ihrer Multi-Faktor-Authentifizierung in Google Authenticator
- Starten Sie Ihr Konto und geben Sie den folgenden Befehl ein: Google-Authentifikator
- Geben Sie "Y" für zeitbasierte Token ein
- Strecken Sie Ihr Fenster aus, um den gesamten generierten QR-Code anzuzeigen, und scannen Sie ihn auf Ihrem Smartphone. Auf diese Weise können Sie den Authentifizierungsdienst Ihres Raspberry Pi mit Ihrer Smartphone-Anwendung koppeln.
- Unter dem QR-Code werden einige Sicherungscodes angezeigt. Notieren Sie sich diese oder machen Sie ein Foto von ihnen, um sie in Reserve zu halten, falls Sie Ihre Multi-Faktor-Authentifizierung nicht über die Google Authenticator-Anwendung überprüfen können und am Ende einen Sicherungscode benötigen, um hineinzukommen. Bewahren Sie diese sicher auf und tun Sie dies nicht verlieren sie.
- Sie werden jetzt mit vier Fragen aufgefordert. Hier erfahren Sie, wie Sie diese beantworten müssen, indem Sie entweder "Y" für "Ja" oder "N" für "Nein" eingeben. (Hinweis: Die folgenden Fragen werden direkt vom digitalen Raspberry Pi-Terminal zitiert, damit Sie genau wissen, mit welchen Fragen Sie konfrontiert werden und wie Sie darauf antworten müssen.)
- "Soll ich Ihre Datei" /home/pi/.google_authenticator "aktualisieren?" (j / n): Geben Sie "Y" ein.
- „Möchten Sie die mehrfache Verwendung desselben Authentifizierungstokens verbieten? Dies beschränkt Sie auf einen Login etwa alle 30 Sekunden, erhöht jedoch Ihre Chancen, Man-in-the-Middle-Angriffe (j / n) zu bemerken oder sogar zu verhindern: “ Geben Sie "Y" ein.
- „Standardmäßig wird alle 30 Sekunden von der mobilen App ein neues Token generiert. Um mögliche Zeitverschiebungen zwischen Client und Server auszugleichen, erlauben wir ein zusätzliches Token vor und nach der aktuellen Zeit. Dies ermöglicht einen Zeitversatz von bis zu 30 Sekunden zwischen dem Authentifizierungsserver und dem Client. Wenn Sie Probleme mit einer schlechten Zeitsynchronisation haben, können Sie das Fenster von seiner Standardgröße von 3 zulässigen Codes (ein vorheriger Code, ein aktueller Code, der nächste Code) auf 17 zulässige Codes (die 8 vorherigen Codes, einen aktuellen Code, den nächste 8 Codes). Dies ermöglicht einen Zeitversatz von bis zu 4 Minuten zwischen Client und Server. Möchtest du das tun? (j / n): ” Geben Sie "N" ein.
- "Wenn der Computer, bei dem Sie sich anmelden, nicht gegen Brute-Force-Anmeldeversuche abgesichert ist, können Sie die Ratenbegrenzung für das Authentifizierungsmodul aktivieren." Standardmäßig sind Angreifer auf maximal 30 Anmeldeversuche alle 30 Sekunden beschränkt. Möchten Sie die Ratenbegrenzung aktivieren? (j / n): ” Geben Sie "Y" ein.
- Starten Sie jetzt die Google Authenticator-Anwendung auf Ihrem Smartphone und drücken Sie auf das Plus-Symbol oben auf dem Bildschirm. Scannen Sie den auf Ihrem Pi-Gerät angezeigten QR-Code, um die beiden Geräte zu koppeln. Sie werden jetzt rund um die Uhr mit Authentifizierungscodes angezeigt, wenn Sie diese zum Anmelden benötigen. Sie müssen keinen Code generieren. Sie können einfach die Anwendung starten und diejenige eingeben, die gerade angezeigt wird.
Schritt 4: Konfigurieren des PAM-Authentifizierungsmoduls mit Ihrem SSH
Starten Sie Ihr Terminal und geben Sie den folgenden Befehl ein: sudo nano /etc/pam.d/sshd
Geben Sie den folgenden Befehl wie gezeigt ein:
Wenn Sie vor der Eingabe Ihres Kennworts über die Google Authenticator-Anwendung nach Ihrem Passschlüssel gefragt werden möchten, geben Sie den folgenden Befehl ein, bevor Sie den zuvor eingegebenen Befehl eingeben:
Wenn Sie nach der Eingabe Ihres Kennworts nach dem Passschlüssel gefragt werden möchten, geben Sie denselben Befehl ein, außer dass Sie ihn nach dem vorherigen Befehlssatz # 2FA eingeben. Speichern Sie Ihre Änderungen, indem Sie [Strg] + [O] drücken, und schließen Sie das Fenster, indem Sie [Strg] + [X] drücken.
Schritt 5: Schließen Sie den parallelen SSH-Stream
Nachdem Sie die Einrichtung der Multi-Faktor-Authentifizierung abgeschlossen haben, können Sie einen der parallelen Streams schließen, die wir hatten. Geben Sie dazu den folgenden Befehl ein:
Ihr zweiter Backup-Sicherheitsnetz-Stream läuft noch. Sie werden dies so lange ausführen, bis Sie überprüft haben, ob Ihre Multi-Faktor-Authentifizierung ordnungsgemäß funktioniert. Starten Sie dazu eine neue SSH-Verbindung, indem Sie Folgendes eingeben:
Geben Sie anstelle des Benutzernamens den Benutzernamen Ihres Geräts ein. Geben Sie anstelle des Pi-Namens den Namen Ihres Pi-Geräts ein.
Der Anmeldevorgang wird nun ausgeführt. Geben Sie Ihr Passwort ein und geben Sie den Code ein, der zu diesem Zeitpunkt in Ihrer Google Authenticator-Anwendung angezeigt wird. Achten Sie darauf, dass beide Schritte in 30 Sekunden ausgeführt werden. Wenn Sie sich erfolgreich anmelden können, können Sie sich erneut anmelden und den vorherigen Schritt wiederholen, um den parallelen Sicherheitsnetz-Stream zu schließen, den wir eingerichtet haben. Wenn Sie alle Schritte korrekt ausgeführt haben, sollten Sie jetzt in der Lage sein, die Multi-Faktor-Authentifizierung auf Ihrem Raspberry Pi-Gerät fortzusetzen.
Letzte Worte
Wie bei jedem Authentifizierungsprozess, den Sie auf einem Gerät oder Konto durchführen, machen diese zusätzlichen Faktoren es sicherer als zuvor, aber nicht absolut sicher. Seien Sie vorsichtig, wenn Sie Ihr Gerät verwenden. Achten Sie auf mögliche Betrugsfälle, Phishing-Angriffe und Cyberdiebstahl, denen Ihr Gerät ausgesetzt sein könnte. Schützen Sie Ihr zweites Gerät, auf dem Sie den Code-Abrufprozess eingerichtet haben, und bewahren Sie es ebenfalls sicher auf. Sie benötigen dieses Gerät jedes Mal, um wieder in Ihr System zu gelangen. Bewahren Sie Ihre Sicherungscodes an einem bekannten und sicheren Ort auf, falls Sie jemals in einer Position sind, in der Sie keinen Zugriff auf Ihr Sicherungs-Smartphone haben.