Как настроить двухфакторную аутентификацию для Raspberry Pi

Требовать идентификацию аутентификации с запросом-ответом

Примечание. Если вы используете файл ключей SSH для доступа к Raspberry Pi, двухфакторная аутентификация использоваться не будет.

Обновите свой Pi

Предполагая, что у вас уже есть настройте Raspberry Pi с ОС Raspberry Pi

Обновите свой Pi

sudo apt update && sudo apt -y upgrade

Включить SSH

В ОС Raspberry Pi сервер SSH по умолчанию отключен. Прежде чем вы сможете подключиться к вашему Pi через SSH, вам необходимо включить его, выполнив следующие команды терминала:

sudo systemctl enable ssh
sudo systemctl start ssh

Теперь вы можете подключиться к SSH-серверу.

Требовать иденти

Включить SSH

В конечном итоге вашему Raspberry Pi необходимо предложить вам подтвердить вашу личность, а затем обработать ваш ответ, а это означает, что вам необходимо включить пароли типа «запрос-ответ».

Для начала откройте файл конфигурации SSH для редактирования, выполнив следующую команду терминала:

sudo nano /etc/ssh/sshd_config

В этом файле найдите раздел ChallengeResponseAuthenticationи измените его с «нет» на «да».

Теперь вы можете сохранить обновленный файл «sshd_config», нажав Ctrl+ O, а затем Ctrl+ X.

Вернувшись в терминал, перезапустите демон SSH с новой конфигурацией:

sudo systemctl restart ssh

Поскольку в конфигурацию SSH были внесены изменения, рекомендуется убедиться, что вы по-прежнему можете подключаться к Raspberry Pi через SSH.

Чтобы подключиться к SSH-серверу, вам необходимо знать IP-адрес вашего Raspberry Pi. Если у вас еще нет этой информации, выполните на своем Pi следующую команду:

hostname -I

Это вернет IP-адрес, который вам нужно использовать.

Переключитесь на ноутбук или компьютер, запустите терминал, а затем подключитесь к Raspberry Pi, обязательно заменив «10.3.000.0» своим уникальным IP-адресом:

ssh pi@10.3.000.0

Теперь вы подключены через SSH.

Настройка двухфакторной аутентификации

Далее загрузите приложение Authenticator для генерации одноразового кода аутентификации. На рынке есть различные приложения для аутентификации , но для этого руководства я использую Google Authenticator, который доступен как для iOS , так и для Андроид .

После загрузки этого мобильного приложения вам также потребуется установить модуль PAM Google Authenticator на Raspberry Pi.

На вашем Pi откройте окно терминала и выполните следующую команду:

sudo apt install libpam-google-authenticator

После установки Google Authenticator на Raspberry Pi и на мобильном устройстве вы готовы настроить двухфакторную аутентификацию.

Создайте соединение: свяжите Pi с мобильным устройством

Чтобы создать связь между вашим мобильным приложением и Raspberry Pi, сгенерируйте QR-код н

Настройка двухфакторной аутентификации

Чтобы сгенерировать QR-код, вернитесь к Raspberry Pi и выполните следующую команду терминала:

google-authenticator

Ваш Raspberry Pi спросит, должны ли его токены аутентификации быть ограничены по времени. Поскольку это более безопасно, обычно вам нужно генерировать токены аутентификации на основе времени, если у вас нет особых причин не делать этого.

Терминал сгенерирует QR-код, хотя вам может потребоваться изменить размер Терминала, чтобы увидеть полный штрих-код.

Существует также ряд экстренных кодов. Если вы когда-нибудь потеряете, потеряете или сломаете свое мобильное устройство, эти коды позволят вам получить доступ к Raspberry Pi через SSH даже без мобильного устройства. Не рискуйте, что ваш Raspberry Pi заблокируется. Запишите эти коды и сохраните их в надежном месте.

Используйте этот QR-код, чтобы подключить Raspberry Pi к приложению Google Authenticator:

1. Запустите приложение Google Authenticator на смартфоне или планшете.

2. В правом нижнем углу нажмите знак "+".

3. Выберите «Сканировать QR-код». При появлении запроса предоставьте приложению разрешение на доступ к камере вашего устройства.

4. Поднесите камеру вашего устройства к монитору и наведите ее на QR-код. Как только ваш смартфон или планшет распознает QR-код, он создаст учетную запись и начнет автоматически генерировать коды аутентификации.

5. Вернитесь к Raspberry Pi; Терминал предложит вам обновить файл «google_authenticator». Нажмите клавишу Yна клавиатуре.

6. Вас спросят, хотите ли вы запретить нескольким людя

Создайте соединение: свяжите Pi с мобильным устройством

7. Когда вас спросят, хотите ли вы увеличить окно отклонения по времени, нажмите N, поскольку это поможет защитить вас от атак методом перебора.

8. Терминал теперь попросит вас включить ограничение скорости, что ограничит вас (и потенциальных хакеров!) тремя попытками входа в систему каждые 30 секунд. Ограничение скорости может помочь защитить вас от перебора и других атак с использованием пароля, поэтому вам следует выбрать «Да», если у вас нет особых причин не делать этого.

Подключаемые модули аутентификации Linux

Наконец, вам необходимо включить двухфакторную аутентификацию на Raspberry Pi с помощью подключаемых модулей аутентификации Linux (PAM).

Для начала откройте файл «sshd» в текстовом редакторе Nano:

sudo nano /etc/pam.d/sshd

Добавьте следующую строку:

auth required pam_google_authenticator.so

Однако имеет значение то, куда вы добавите следующую строку:

1. После ввода пароля

Если вы хотите, чтобы после ввода пароля Raspberry Pi вам запрашивали одноразовый код аутентификации, добавьте эту строку после @include.

2. Перед вводом пароля

Если вы хотите, чтобы перед вводом пароля вам предлагалось ввести одноразовый код аутентификации, добавьте эту строку перед @include.

После внесения этих изменений сохраните файл, нажав Ctrl+ O, а затем Ctrl+ X.

Перезапустите демон SSH:

sudo systemctl restart ssh

Теперь каждый раз, когда вы пытаетесь подключиться через SSH, вам будет предложено ввести одноразовый код подтверждения.

Теперь, когда вы настроили двухфакторную аутентификацию на Raspberry Pi, вы можете приступить к настройке персональный веб-сервер или музыкальный сервер . Вы также можете продолжить увеличьте безопасность вашего SSH с помощью этих трюков .

Подключаемые модули аутентификации Linux