כיצד להוסיף אבטחת MFA דרך מסוף ה- Raspberry Pi שלך

דעות

Raspberry Pi הוא מחשב לוח יחיד פופולרי שהפך בשנים האחרונות לכל השיגעון. בשל הפופולריות הגוברת והשימוש הנפוץ בקרב מקודדי מתחילים וחובבי טכנולוגיה, זה הפך למטרה של פושעי סייבר לעשות את מה שהם רוצים לעשות הכי טוב: גניבת סייבר. בדיוק כמו במכשירי המחשב הרגילים שאנו מגנים עליהם באמצעות חומות אש וסיסמאות רבות, חשוב יותר ויותר להגן על מכשיר ה- Raspberry Pi שלך גם עם הגנה רבת פנים דומה.



פאי פטל

אימות רב גורמים עובד על ידי שילוב שניים או יותר מהבאים הבאים כדי להעניק לך גישה לחשבונך או למכשיר שלך. שלוש הקטגוריות הרחבות שאפשר לספק מהן גישה שמעניקות מידע הן: משהו שאתה יודע, משהו שיש לך ומשהו שאתה. הקטגוריה הראשונה יכולה להיות סיסמה או קוד PIN שהגדרת עבור חשבונך או המכשיר שלך. כשכבת הגנה נוספת, ייתכן שתידרש לספק משהו מהקטגוריה השנייה כגון סיכה שנוצרה על ידי המערכת שנשלחת לסמארטפון שלך או נוצרת במכשיר אחר שבבעלותך. כחלופה שלישית, תוכל גם לשלב משהו מהקטגוריה השלישית, הכולל מפתחות פיזיים כגון זיהוי ביומטרי הכולל זיהוי פנים, טביעת אצבע וסריקת רשתית, בהתאם ליכולתו של המכשיר שלך לבצע סריקות אלה.



לצורך התקנה זו, נשתמש בשני מצבי האימות הנפוצים ביותר: הסיסמה שהגדרת שלך ואסימון חד פעמי שנוצר באמצעות הטלפון החכם שלך. נשלב את שני השלבים עם google ונקבל את הסיסמה שלך באמצעות אפליקציית המאמת של גוגל (המחליפה את הצורך בקבלת קודי SMS בטלפון הסלולרי שלך).



שלב 1: השג את יישום המאמת של Google

יישום המאמת של גוגל בחנות Google Play.



לפני שנתחיל בהגדרת המכשיר שלך, בואו נרד והתקין את אפליקציית המאמת של גוגל בסמארטפון שלך. היכנס לחנות האפליקציות של אפל, לחנות Google Play או לחנות המתאימה לכל המכשיר שאתה מפעיל. הורד את יישום המאמת של גוגל וחכה שהוא יסיים את ההתקנה. ניתן להשתמש גם באפליקציות אימות אחרות כגון המאמת של מיקרוסופט, אך לצורך ההדרכה שלנו נשתמש ביישום המאמת של גוגל.

שלב 2: הגדרת חיבורי SSH שלך

מכשירי פטל Pi בדרך כלל פועלים ב- SSH ואנחנו נעבוד על הגדרת האימות הרב-גורמי שלנו גם על SSH. אנו ניצור שני חיבורי SSH לשם כך מהסיבה הבאה: אנחנו לא רוצים שתינעל מהמכשיר שלך ובמקרה שאתה אכן יינעל מזרם אחד, השני יאפשר לך הזדמנות נוספת לחזור פנימה זו רק רשת ביטחון שאנחנו מכניסים למענך: המשתמש שבבעלות המכשיר. אנו נשמור על זרם שני זה של רשת הביטחון לאורך כל תהליך ההתקנה עד לסיום ההתקנה כולה והקפידו על אימות רב הגורמים שלך לעבוד כראוי. אם תבצע את השלבים הבאים בקפדנות ובזהירות, לא אמורה להיות שום בעיה בהגדרת האימות שלך.

ממשק פטל פטל.



אופק פורזה 3 לא יתחיל

הפעל שני חלונות מסוף והקלד את הפקודה הבאה בכל אחד מהם. זאת בכדי להקים את שני הזרמים במקביל.

ssh username@piname.local

במקום שם משתמש, הקלד את שם המשתמש של המכשיר שלך. במקום שם ה- pi, הקלד את שם מכשיר ה- pi שלך.

wyd פירושו בהודעות טקסט

לאחר לחיצה על Enter, עליך לקבל הודעת קבלת פנים בשני חלונות המסוף המציגים גם את שם המכשיר שלך ואת שם המשתמש שלך.

לאחר מכן נערוך את הקובץ sshd_config. לשם כך הקלד את הפקודה הבאה בכל חלון. זכור לבצע את כל השלבים בסעיף זה בשני החלונות במקביל.

sudo nano / etc / ssh / sshd_config

גלול מטה ומצא היכן כתוב: אתגר תגובה אימות לא

שנה את ה'לא 'ל'כן' על ידי הקלדת זה במקומו. שמור את השינויים שלך על ידי לחיצה על [Ctrl] + [O] ואז צא מהחלון על ידי לחיצה על [Ctrl] + [X]. שוב, עשה זאת עבור שני החלונות.

הפעל מחדש את המסופים והקלד את הפקודה הבאה בכל אחד מהם להפעלת הדמון SSH:

הפעל מחדש את ssh

לבסוף. התקן את המאמת של גוגל בהתקנה שלך כדי לשלב את המערכת שלך איתו. לשם כך הקלד את הפקודה הבאה:

sudo apt-get install libpam-google-authenticator

הזרמים שלך הוגדרו עכשיו והגדרת את המאמת של גוגל שלך עם המכשיר שלך והסמארטפון שלך עד לנקודה זו.

פורמט פנקס רשימות ++

שלב 3: שילוב האימות הרב-גורמי שלך עם מאמת Google

  1. הפעל את חשבונך והקלד את הפקודה הבאה: מאמת גוגל
  2. הזן 'Y' עבור אסימונים מבוססי זמן
  3. תמתח מהחלון שלך כדי לראות את כל קוד ה- QR שנוצר וסרוק אותו במכשיר הסמארטפון שלך. זה יאפשר לך להתאים את שירות המאמת של Raspberry Pi שלך ליישום הסמארטפון שלך.
  4. יופיעו כמה קודי גיבוי מתחת לקוד QR. שים לב למטה או צלם תמונה כדי שיהיה להם מילואים במקרה שאתה לא מצליח לאמת את האימות הרב-גורמי שלך באמצעות יישום המאמת של גוגל ובסופו של דבר תזדקק לקוד גיבוי כדי להיכנס. שמור על הבטיחות ואל תעשה לאבד אותם.
  5. תתבקש כעת לארבע שאלות וכאן תצטרך לענות עליהן על ידי הזנת 'Y' כן או 'N' לא. (הערה: השאלות שלהלן צוטטות ישירות מהמסוף הדיגיטלי של Raspberry Pi, כך שתדעו בדיוק עם השאלות העומדות בפניכם וכיצד לענות עליהן.)

    יישום הסמארטפון של Google מאמת ב- iOS. חשבונות הושחרו מטעמי אבטחה וספרות קוד האבטחה דשדשו והשתנו גם כן.

    • 'אתה רוצה שאעדכן את קובץ' /home/pi/.google_authenticator 'שלך?' (y / n): הזן 'Y'
    • 'האם ברצונך לאפשר מספר שימושים באותו אסימון אימות? זה מגביל אותך לכניסה אחת בערך כל שנות ה -30 אך מגדיל את הסיכויים שלך להבחין או אפילו למנוע התקפות איש-אמצע (שנה / שנה): ' הזן 'Y'
    • 'כברירת מחדל, האפליקציה לנייד יוצרת אסימון חדש כל 30 שניות. על מנת לפצות על הטיית זמן אפשרית בין הלקוח לשרת, אנו מאפשרים אסימון נוסף לפני הזמן הנוכחי ואחריו. זה מאפשר הטיית זמן של עד 30 שניות בין שרת האימות ללקוח. אם אתה נתקל בבעיות בסנכרון זמן ירוד, תוכל להגדיל את החלון מגודל ברירת המחדל שלו של 3 קודים מותרים (קוד קודם, קוד נוכחי אחד, הקוד הבא) ל -17 קודים מותרים (8 הקודים הקודמים, קוד נוכחי אחד, 8 הקודים הבאים). זה יאפשר הטייה של עד 4 דקות בין לקוח לשרת. האם אתה רוצה לעשות זאת? (y / n): ” הזן 'N'
    • 'אם המחשב שאליו אתה מתחבר אינו מתקשה מפני ניסיונות התחברות של כוח אכזרי, אתה יכול לאפשר הגבלת קצב עבור מודול האימות. כברירת מחדל, זה מגביל את התוקפים לא יותר משלושה ניסיונות כניסה בכל שנות ה 30-. האם ברצונך לאפשר הגבלת תעריפים? (y / n): ” הזן 'Y'
  6. כעת, הפעל את יישום המאמת של גוגל בסמארטפון שלך ולחץ על סמל הפלוס בחלקו העליון של המסך. סרוק את קוד ה- QR המוצג במכשיר ה- Pi שלך כדי להתאים את שני המכשירים. כעת תוצג עם קודי אימות מסביב לשעון בכל עת שתזדקק להם בכניסה. לא תצטרך ליצור קוד. אתה יכול פשוט להפעיל את היישום ולהקליד את המוצג באותו הרגע.

שלב 4: קביעת תצורה של מודול האימות של PAM עם ה- SSH שלך

הפעל את המסוף שלך והקלד את הפקודה הבאה: sudo nano /etc/pam.d/sshd

הקלד את הפקודה הבאה כמוצג:

נדרש אימות מס '2FA pam_google_authenticator.so

אם ברצונך להתבקש על מפתח המעבר שלך באמצעות יישום המאמת של גוגל לפני הזנת הסיסמה שלך, הקלד את הפקודה הבאה לפני הפקודה שהוקלדה בעבר:

@ כלול אימות משותף

אם ברצונך להתבקש על מפתח המעבר לאחר הזנת הסיסמה שלך, הקלד את אותה פקודה, למעט הכנס אותה לאחר קבוצת הפקודות הקודמת # 2FA. שמור את השינויים שלך על ידי לחיצה על [Ctrl] + [O] ואז צא מהחלון על ידי לחיצה על [Ctrl] + [X].

כיצד להסתיר את הדפים המבוקשים ביותר בכרום

שלב 5: סגור את זרם ה- SSH המקביל

לאחר שסיימתם להגדיר את האימות הרב-גורמי, תוכלו לסגור את אחד מהזרמים המקבילים שעברנו. לשם כך הקלד את הפקודה הבאה:

הפעל מחדש את ssh

זרם רשת הביטחון לגיבוי השני שלך עדיין פועל. אתה תמשיך לפעול עד שתוודא שהאימות הרב-גורמי שלך פועל כהלכה. לשם כך, הפעל חיבור SSH חדש על ידי הקלדת:

ssh username@piname.local

במקום שם משתמש, הקלד את שם המשתמש של המכשיר שלך. במקום שם ה- pi, הקלד את שם מכשיר ה- pi שלך.

הליך הכניסה יבוצע כעת. הקלד את הסיסמה שלך ואז הזן את הקוד המוצג ביישום המאמת שלך ב- Google בשלב זה. היזהר לבצע את שני הצעדים תוך שלושים שניות. אם אתה מצליח להתחבר בהצלחה, תוכל לחזור ולחזור על הצעד הקודם כדי לסגור את זרם רשת הביטחון המקביל שהפעלנו במקום. אם פעלת כהלכה על כל השלבים, אתה אמור להיות מסוגל להמשיך עם אימות רב גורמים במכשיר ה- Raspberry Pi שלך כעת.

מילים אחרונות

כמו בכל תהליך אימות שאתה מציב בכל מכשיר או חשבון כלשהו, ​​גורמים נוספים אלה הופכים אותו לבטוח מבעבר, אך אינם הופכים אותו לבטוח לחלוטין. היזהר בעת השימוש במכשיר שלך. להיות ערני להונאות פוטנציאליות, התקפות דיוג וגניבת סייבר שהמכשיר שלך עשוי להיות כפוף להם. הגן על המכשיר השני שלך שהגדרת עליו את תהליך אחזור הקוד ושמור על בטיחותו גם כן. תזדקק למכשיר זה בכל פעם כדי לחזור למערכת שלך. שמור את קודי הגיבוי שלך במקום ידוע ובטוח למקרה שאתה נמצא אי פעם במצב בו אין לך גישה למכשיר הסמארטפון הגיבוי שלך.