วิธีเพิ่ม MFA Security ผ่าน Raspberry Pi Terminal ของคุณ

Raspberry Pi เป็นคอมพิวเตอร์บอร์ดเดี่ยวยอดนิยมที่กลายเป็นที่นิยมในช่วงไม่กี่ปีที่ผ่านมา เนื่องจากความนิยมที่เพิ่มขึ้นและการใช้งานทั่วไปในนักเขียนโค้ดมือใหม่และผู้ชื่นชอบเทคโนโลยี จึงกลายเป็นเป้าหมายของอาชญากรไซเบอร์ที่จะทำในสิ่งที่พวกเขาต้องการทำได้ดีที่สุด นั่นคือ การโจรกรรมทางไซเบอร์ เช่นเดียวกับอุปกรณ์พีซีทั่วไปที่เราป้องกันด้วยไฟร์วอลล์และรหัสผ่านจำนวนมากการปกป้องอุปกรณ์ Raspberry Pi ของคุณมีความสำคัญมากขึ้นด้วยการป้องกันแบบหลายแง่มุมที่คล้ายกันเช่นกัน

การตรวจสอบสิทธิ์แบบหลายปัจจัยทำงานโดยการรวมสองสิ่งต่อไปนี้เข้าด้วยกันเพื่อให้คุณสามารถเข้าถึงบัญชีหรืออุปกรณ์ของคุณได้ หมวดหมู่กว้าง ๆ สามหมวดหมู่เพื่อให้ข้อมูลการให้สิทธิ์เข้าถึง ได้แก่ สิ่งที่คุณรู้สิ่งที่คุณมีและสิ่งที่คุณเป็น ประเภทแรกอาจเป็นรหัสผ่านหรือรหัสพินที่คุณตั้งค่าไว้สำหรับบัญชีหรืออุปกรณ์ของคุณ ในฐานะที่เป็นชั้นการป้องกันเพิ่มเติมคุณอาจต้องจัดเตรียมบางอย่างจากประเภทที่สองเช่นพินที่ระบบสร้างขึ้นซึ่งส่งไปยังสมาร์ทโฟนของคุณหรือสร้างขึ้นบนอุปกรณ์อื่นที่คุณเป็นเจ้าของ ทางเลือกที่สามคุณอาจรวมบางอย่างจากประเภทที่สามซึ่งประกอบด้วยคีย์ทางกายภาพเช่นการระบุตัวตนทางชีวภาพซึ่งรวมถึงการจดจำใบหน้าลายนิ้วมือและการสแกนจอประสาทตาขึ้นอยู่กับความสามารถของอุปกรณ์ในการสแกนเหล่านี้

เพื่อจุดประสงค์ในการตั้งค่านี้เราจะใช้โหมดการตรวจสอบสิทธิ์ที่พบบ่อยที่สุดสองโหมด ได้แก่ รหัสผ่านที่คุณตั้งไว้และโทเค็นแบบครั้งเดียวที่สร้างขึ้นผ่านสมาร์ทโฟนของคุณ เราจะรวมทั้งสองขั้นตอนกับ google และรับรหัสผ่านของคุณผ่านแอปพลิเคชันตัวตรวจสอบสิทธิ์ของ Google (ซึ่งจะแทนที่ความต้องการในการรับรหัส SMS บนโทรศัพท์มือถือของคุณ)

ขั้นตอนที่ 1: รับแอปพลิเคชัน Google Authenticator

ก่อนที่เราจะเริ่มตั้งค่าอุปกรณ์ของคุณมาดาวน์โหลดและติดตั้งแอป Google Authenticator บนสมาร์ทโฟนของคุณ เข้าไปที่ Apple App store, Google play store หรือร้านค้าที่เกี่ยวข้องของอุปกรณ์ใดก็ตามที่คุณใช้งานอยู่ ดาวน์โหลดแอปพลิเคชันตรวจสอบความถูกต้องของ Google และรอให้การติดตั้งเสร็จสิ้น นอกจากนี้ยังสามารถใช้แอปพลิเคชันการตรวจสอบสิทธิ์อื่น ๆ เช่นตัวตรวจสอบสิทธิ์ของ Microsoft ได้ แต่สำหรับบทช่วยสอนของเราเราจะใช้แอปพลิเคชันการตรวจสอบสิทธิ์ของ Google

ขั้นตอนที่ 2: การตั้งค่าการเชื่อมต่อ SSH ของคุณ

โดยปกติอุปกรณ์ Raspberry Pi จะทำงานบน SSH และเราจะดำเนินการกำหนดค่าการตรวจสอบสิทธิ์แบบหลายปัจจัยผ่าน SSH เช่นกัน เราจะสร้างการเชื่อมต่อ SSH สองรายการเพื่อทำสิ่งนี้ด้วยเหตุผลดังต่อไปนี้: เราไม่ต้องการให้คุณถูกล็อกจากอุปกรณ์ของคุณและในกรณีที่คุณถูกล็อคจากสตรีมหนึ่งสตรีมที่สองจะช่วยให้คุณมีโอกาสกลับเข้า นี่เป็นเพียงเครือข่ายความปลอดภัยที่เราสร้างขึ้นเพื่อคุณ: ผู้ใช้ที่เป็นเจ้าของอุปกรณ์ เราจะรักษาสตรีมที่สองของตาข่ายนิรภัยนี้ไว้ตลอดกระบวนการตั้งค่าจนกว่าการตั้งค่าทั้งหมดจะเสร็จสมบูรณ์และเรามั่นใจว่าการตรวจสอบสิทธิ์แบบหลายปัจจัยของคุณทำงานได้อย่างถูกต้อง หากคุณทำตามขั้นตอนต่อไปนี้อย่างรอบคอบและรอบคอบไม่ควรมีปัญหาใด ๆ ในการตั้งค่าการตรวจสอบสิทธิ์ของคุณ

เปิดหน้าต่างเทอร์มินัลสองหน้าต่างแล้วพิมพ์คำสั่งต่อไปนี้ในแต่ละหน้าต่าง นี่คือการตั้งค่าสตรีมทั้งสองแบบขนานกัน

พิมพ์ชื่อผู้ใช้ของอุปกรณ์แทนชื่อผู้ใช้ แทนชื่อปี่ให้พิมพ์ชื่ออุปกรณ์ปี่ของคุณ

หลังจากกด Enter คุณจะได้รับข้อความต้อนรับในหน้าต่างเทอร์มินัลทั้งสองบานซึ่งแสดงชื่ออุปกรณ์และชื่อผู้ใช้ของคุณด้วย

ต่อไปเราจะแก้ไขไฟล์ sshd_config โดยพิมพ์คำสั่งต่อไปนี้ในแต่ละหน้าต่าง อย่าลืมทำทุกขั้นตอนในส่วนนี้ในหน้าต่างทั้งสองพร้อมกัน

sudo nano / etc / ssh / sshd_config

เลื่อนลงและค้นหาที่ระบุ: ChallengeResponseAuthentication no

เปลี่ยน "ไม่" เป็น "ใช่" โดยพิมพ์ที่ตำแหน่งนี้ บันทึกการเปลี่ยนแปลงของคุณโดยกด [Ctrl]+[O] จากนั้นออกจากหน้าต่างโดยกด [Ctrl]+[X] อีกครั้งให้ทำเช่นนี้กับทั้งสองหน้าต่าง

เปิดเทอร์มินัลใหม่และพิมพ์คำสั่งต่อไปนี้ในแต่ละคำสั่งเพื่อรีสตาร์ท SSH daemon:

สุดท้าย. ติดตั้ง Google Authenticator ในการตั้งค่าของคุณเพื่อรวมระบบของคุณเข้ากับมัน โดยพิมพ์คำสั่งต่อไปนี้:

สตรีมของคุณได้รับการตั้งค่าแล้ว และคุณได้กำหนดค่า Google Authenticator กับทั้งอุปกรณ์และสมาร์ทโฟนของคุณจนถึงจุดนี้

ขั้นตอนที่ 3: ผสานรวมการรับรองความถูกต้องด้วยหลายปัจจัยกับ Google Authenticator

  1. เปิดใช้งานบัญชีของคุณและพิมพ์คำสั่งต่อไปนี้: google-authenticator
  2. ป้อน“ Y” สำหรับโทเค็นตามเวลา
  3. ยืดหน้าต่างของคุณออกเพื่อดูรหัส QR ทั้งหมดที่สร้างขึ้นและสแกนบนอุปกรณ์สมาร์ทโฟนของคุณ วิธีนี้จะช่วยให้คุณสามารถจับคู่บริการตรวจสอบสิทธิ์ Raspberry Pi กับแอปพลิเคชันบนสมาร์ทโฟนของคุณได้
  4. จะมีรหัสสำรองบางส่วนแสดงอยู่ใต้รหัส QR จดบันทึกสิ่งเหล่านี้หรือถ่ายภาพเพื่อสำรองไว้ในกรณีที่คุณไม่สามารถยืนยันการตรวจสอบสิทธิ์แบบหลายปัจจัยผ่านแอปพลิเคชัน Google Authenticator และต้องใช้รหัสสำรองเพื่อเข้าใช้งานโปรดรักษาความปลอดภัยเหล่านี้ไว้ สูญเสียพวกเขา
  5. คุณจะได้รับคำถามสี่ข้อในตอนนี้และต่อไปนี้คือวิธีที่คุณจะต้องตอบโดยป้อน“ Y” สำหรับ yes หรือ“ N” แทน (หมายเหตุ: คำถามด้านล่างอ้างอิงโดยตรงจากเทอร์มินัลดิจิทัล Raspberry Pi เพื่อให้คุณทราบว่าคำถามใดที่คุณจะต้องเผชิญและจะตอบกลับอย่างไร)
    • “ คุณต้องการให้ฉันอัปเดตไฟล์“ /home/pi/.google_authenticator” ของคุณหรือไม่” (y / n): ป้อน“ Y”
    • “ คุณต้องการไม่อนุญาตให้ใช้โทเค็นการตรวจสอบสิทธิ์เดียวกันหลายครั้งหรือไม่? สิ่งนี้ จำกัด ให้คุณเข้าสู่ระบบหนึ่งครั้งในทุกๆ 30 วินาที แต่จะเพิ่มโอกาสในการสังเกตเห็นหรือแม้แต่ป้องกันการโจมตีจากคนตรงกลาง (y / n):” ป้อน“ Y”
    • “ โดยค่าเริ่มต้นโทเค็นใหม่จะถูกสร้างขึ้นทุกๆ 30 วินาทีโดยแอพมือถือ เพื่อชดเชยเวลาที่อาจคลาดเคลื่อนระหว่างไคลเอนต์และเซิร์ฟเวอร์เราอนุญาตให้มีโทเค็นเพิ่มเติมก่อนและหลังเวลาปัจจุบัน ซึ่งจะทำให้เวลาเอียงได้ถึง 30 วินาทีระหว่างเซิร์ฟเวอร์การตรวจสอบความถูกต้องและไคลเอ็นต์ หากคุณประสบปัญหาเกี่ยวกับการซิงโครไนซ์เวลาที่ไม่ดี คุณสามารถเพิ่มหน้าต่างจากขนาดเริ่มต้นของรหัสที่อนุญาต 3 รหัส (รหัสก่อนหน้าหนึ่งรหัส รหัสปัจจุบันหนึ่งรหัส รหัสถัดไป) เป็นรหัสที่อนุญาต 17 รหัส (รหัสก่อนหน้า 8 รหัส รหัสปัจจุบันหนึ่งรหัส 8 รหัสถัดไป) การดำเนินการนี้จะอนุญาตให้มีการบิดเบือนเวลาสูงสุด 4 นาทีระหว่างไคลเอ็นต์และเซิร์ฟเวอร์ คุณต้องการทำเช่นนั้นหรือไม่? (y / n):” ใส่ “น”
    • “ หากคอมพิวเตอร์ที่คุณกำลังเข้าสู่ระบบไม่ได้แข็งกระด้างจากการพยายามเข้าสู่ระบบด้วยกำลังดุร้ายคุณสามารถเปิดใช้งานการ จำกัด อัตราสำหรับโมดูลการตรวจสอบสิทธิ์ได้ โดยค่าเริ่มต้นจะ จำกัด ผู้โจมตีไม่เกิน 3 ครั้งในการพยายามเข้าสู่ระบบทุกๆ 30 วินาที คุณต้องการเปิดใช้การ จำกัด อัตราหรือไม่ (y / n):” ป้อน“ Y”
  6. ตอนนี้เปิดแอปพลิเคชัน Google Authenticator บนสมาร์ทโฟนของคุณแล้วกดไอคอนบวกที่ด้านบนของหน้าจอ สแกนรหัส QR ที่แสดงบนอุปกรณ์ Pi ของคุณเพื่อจับคู่อุปกรณ์ทั้งสอง ตอนนี้คุณจะแสดงรหัสตรวจสอบความถูกต้องตลอดเวลาเมื่อใดก็ตามที่คุณต้องการให้เข้าสู่ระบบคุณไม่จำเป็นต้องสร้างรหัส คุณสามารถเปิดแอปพลิเคชันและพิมพ์แอปพลิเคชันที่แสดงอยู่ในขณะนั้น

ขั้นตอนที่ 4: การกำหนดค่าโมดูลการพิสูจน์ตัวตน PAM ด้วย SSH ของคุณ

เปิดเทอร์มินัลของคุณและพิมพ์คำสั่งต่อไปนี้: sudo nano /etc/pam.d/sshd

พิมพ์คำสั่งต่อไปนี้ตามที่แสดง:

หากคุณต้องการให้คุณป้อนรหัสผ่านผ่านแอปพลิเคชัน Google Authenticator ก่อนป้อนรหัสผ่านให้พิมพ์คำสั่งต่อไปนี้ก่อนคำสั่งที่พิมพ์ไว้ก่อนหน้านี้:

หากคุณต้องการให้ขอรหัสผ่านหลังจากป้อนรหัสผ่านแล้วให้พิมพ์คำสั่งเดียวกันนี้ยกเว้นใส่ไว้หลังชุดคำสั่ง # 2FA ก่อนหน้านี้ บันทึกการเปลี่ยนแปลงของคุณโดยกด [Ctrl] + [O] จากนั้นออกจากหน้าต่างโดยกด [Ctrl] + [X]

ขั้นตอนที่ 5: ปิดสตรีม SSH แบบขนาน

เมื่อคุณตั้งค่าการรับรองความถูกต้องแบบหลายปัจจัยเสร็จแล้วคุณสามารถปิดหนึ่งในสตรีมคู่ขนานที่เราดำเนินการไปได้ โดยพิมพ์คำสั่งต่อไปนี้:

เน็ตสตรีมความปลอดภัยสำรองที่สองของคุณยังคงทำงานอยู่ คุณจะดำเนินการนี้ต่อไปจนกว่าคุณจะตรวจสอบแล้วว่าการรับรองความถูกต้องแบบหลายปัจจัยของคุณทำงานได้อย่างถูกต้อง ในการดำเนินการนี้ให้เปิดการเชื่อมต่อ SSH ใหม่โดยพิมพ์:

พิมพ์ชื่อผู้ใช้ของอุปกรณ์แทนชื่อผู้ใช้ แทนชื่อปี่ให้พิมพ์ชื่ออุปกรณ์ปี่ของคุณ

ขั้นตอนการเข้าสู่ระบบจะดำเนินการในขณะนี้ พิมพ์รหัสผ่านของคุณจากนั้นป้อนรหัสที่แสดงในแอปพลิเคชัน Google Authenticator ของคุณในขณะนี้ ระมัดระวังในการทำทั้งสองขั้นตอนให้เสร็จภายใน 30 วินาที หากคุณสามารถเข้าสู่ระบบได้สำเร็จ คุณสามารถกลับเข้าไปใหม่และทำขั้นตอนก่อนหน้าซ้ำเพื่อปิดเน็ตสตรีมความปลอดภัยแบบคู่ขนานที่เราใช้อยู่ หากคุณทำตามขั้นตอนทั้งหมดอย่างถูกต้อง คุณจะสามารถดำเนินการต่อด้วยการรับรองความถูกต้องแบบหลายปัจจัยบนอุปกรณ์ Raspberry Pi ของคุณได้ในขณะนี้

คำพูดสุดท้าย

เช่นเดียวกับกระบวนการตรวจสอบสิทธิ์ที่คุณวางไว้ในอุปกรณ์หรือบัญชีใด ๆ ปัจจัยเพิ่มเติมเหล่านี้ทำให้ปลอดภัยกว่าเดิม แต่ไม่ได้ทำให้ปลอดภัยอย่างแน่นอน ระวังเมื่อใช้อุปกรณ์ของคุณ ระวังการหลอกลวงที่อาจเกิดขึ้น การโจมตีแบบฟิชชิ่ง และการโจรกรรมทางไซเบอร์ที่อุปกรณ์ของคุณอาจต้องเผชิญ ปกป้องอุปกรณ์เครื่องที่สองของคุณที่คุณได้ตั้งค่าขั้นตอนการดึงรหัสไว้และรักษาความปลอดภัยด้วย คุณจะต้องใช้อุปกรณ์นี้ทุกครั้งเพื่อกลับเข้าสู่ระบบของคุณ เก็บรหัสสำรองของคุณไว้ในตำแหน่งที่รู้จักและปลอดภัย ในกรณีที่คุณเคยอยู่ในตำแหน่งที่คุณไม่สามารถเข้าถึงอุปกรณ์สมาร์ทโฟนสำรองของคุณได้

Facebook Twitter Google Plus Pinterest