Cara Menambahkan Keamanan MFA Melalui Terminal Raspberry Pi Anda
Raspberry Pi adalah komputer papan tunggal populer yang telah menjadi kegemaran dalam beberapa tahun terakhir. Karena popularitasnya yang semakin meningkat dan penggunaan umum di antara pembuat kode pemula dan penggemar teknologi, telah menjadi target penjahat dunia maya untuk melakukan apa yang mereka sukai: pencurian dunia maya. Sama seperti perangkat PC biasa yang kami lindungi dengan banyak firewall dan sandi, semakin penting untuk melindungi perangkat Raspberry Pi Anda dengan perlindungan multi-segi yang serupa.
Otentikasi multi-faktor bekerja dengan menggabungkan dua atau lebih hal berikut untuk memberi Anda akses ke akun atau perangkat Anda. Tiga kategori besar untuk menyediakan akses yang memberikan informasi adalah: sesuatu yang Anda ketahui, sesuatu yang Anda miliki, dan sesuatu yang Anda miliki. Kategori pertama dapat berupa kata sandi atau kode pin yang telah Anda siapkan untuk akun atau perangkat Anda. Sebagai lapisan perlindungan tambahan, Anda mungkin diminta untuk memberikan sesuatu dari kategori kedua seperti pin yang dibuat oleh sistem yang dikirim ke ponsel cerdas Anda atau dibuat di perangkat lain yang Anda miliki. Sebagai alternatif ketiga, Anda juga dapat memasukkan sesuatu dari kategori ketiga, yang terdiri dari kunci fisik seperti identifikasi biometrik yang mencakup pengenalan wajah, sidik jari, dan pemindaian retina tergantung pada kemampuan perangkat Anda untuk melakukan pemindaian ini.
Untuk tujuan penyiapan ini, kami akan menggunakan dua mode otentikasi yang paling umum: kata sandi yang Anda setel dan token sekali pakai yang dibuat melalui ponsel cerdas Anda. Kami akan mengintegrasikan kedua langkah tersebut dengan google dan menerima sandi Anda melalui aplikasi pengautentikasi Google (yang menggantikan kebutuhan untuk menerima kode SMS di ponsel Anda).
Langkah 1: Dapatkan Aplikasi Google Authenticator
Sebelum kami mulai menyiapkan perangkat Anda, mari unduh dan pasang aplikasi pengautentikasi Google di ponsel cerdas Anda. Kunjungi Apple App store, Google play store, atau toko masing-masing dari perangkat mana pun yang Anda operasikan. Unduh aplikasi google authenticator dan tunggu sampai selesai menginstal. Aplikasi otentikasi lain seperti pengautentikasi Microsoft juga dapat digunakan, tetapi untuk tutorial kami, kami akan menggunakan aplikasi pengautentikasi Google.
Langkah 2: Menyiapkan Koneksi SSH Anda
Perangkat Raspberry Pi biasanya beroperasi pada SSH dan kami akan bekerja untuk mengonfigurasi otentikasi multi-faktor kami melalui SSH juga. Kami akan membuat dua koneksi SSH untuk melakukan ini karena alasan berikut: kami tidak ingin Anda terkunci dari perangkat Anda dan jika Anda terkunci dari satu aliran, aliran kedua akan memberi Anda kesempatan lain untuk masuk kembali Ini hanyalah jaring pengaman yang kami pasang demi Anda: pengguna yang memiliki perangkat. Kami akan menjaga aliran kedua jaring pengaman ini berlangsung selama proses penyiapan hingga seluruh penyiapan selesai dan kami telah memastikan bahwa autentikasi multi-faktor Anda berfungsi dengan benar. Jika Anda melakukan langkah-langkah berikut dengan cermat dan hati-hati, tidak akan ada masalah saat menyiapkan autentikasi.
Luncurkan dua jendela terminal dan ketik perintah berikut di masing-masing. Ini untuk mengatur dua aliran secara paralel.
Alih-alih nama pengguna, ketik nama pengguna perangkat Anda. Alih-alih nama pi, ketikkan nama perangkat pi Anda.
Setelah menekan enter, Anda akan mendapatkan pesan selamat datang di kedua jendela terminal yang menampilkan nama perangkat Anda dan juga nama pengguna Anda.
Selanjutnya, kami akan mengedit file sshd_config. Untuk melakukan ini, ketik perintah berikut di setiap jendela. Ingatlah untuk melakukan semua langkah di bagian ini di kedua jendela secara paralel.
sudo nano / etc / ssh / sshd_config
Gulir ke bawah dan temukan di mana dikatakan: ChallengeResponseAuthentication no
Ubah "tidak" menjadi "ya" dengan mengetik ini di tempatnya. Simpan perubahan Anda dengan menekan [Ctrl] + [O] dan kemudian keluar dari jendela dengan menekan [Ctrl] + [X]. Sekali lagi, lakukan ini untuk kedua jendela.
Luncurkan ulang terminal dan ketik perintah berikut di masing-masing untuk memulai ulang daemon SSH:
Akhirnya. Instal Google Authenticator di pengaturan Anda untuk mengintegrasikan sistem Anda dengannya. Untuk melakukan ini, ketik perintah berikut:
Aliran Anda sekarang telah diatur dan Anda telah mengonfigurasi pengautentikasi google dengan perangkat dan ponsel cerdas Anda hingga saat ini.
Langkah 3: Mengintegrasikan Otentikasi Multi-Faktor Anda Dengan Google Authenticator
- Luncurkan akun Anda dan ketik perintah berikut: pengautentikasi google
- Masukkan "Y" untuk token berbasis waktu
- Rentangkan jendela Anda untuk melihat seluruh kode QR yang telah dibuat dan pindai di perangkat ponsel cerdas Anda. Ini akan memungkinkan Anda untuk memasangkan layanan pengautentikasi Raspberry Pi dengan aplikasi ponsel cerdas Anda.
- Akan ada beberapa kode cadangan yang ditampilkan di bawah kode QR. Catat ini atau ambil foto untuk disimpan sebagai cadangan jika Anda tidak dapat memverifikasi autentikasi multi-faktor melalui aplikasi Google Authenticator dan pada akhirnya membutuhkan kode cadangan untuk masuk. Simpan dengan aman dan jangan kehilangan mereka.
- Anda akan diberikan empat pertanyaan sekarang dan berikut cara menjawabnya dengan memasukkan "Y" untuk ya atau "N" untuk tidak. (Catatan: Pertanyaan di bawah ini dikutip langsung dari terminal digital Raspberry Pi sehingga Anda tahu persis pertanyaan mana yang akan Anda hadapi dan bagaimana menanggapinya.)
- “Apakah Anda ingin saya memperbarui file“ /home/pi/.google_authenticator ”Anda?” (t / t): Masukkan "Y"
- “Apakah Anda ingin melarang beberapa penggunaan token otentikasi yang sama? Ini membatasi Anda untuk satu login sekitar setiap 30-an tetapi meningkatkan peluang Anda untuk memperhatikan atau bahkan mencegah serangan man-in-the-middle (y / n): ” Masukkan "Y"
- “Secara default, token baru dibuat setiap 30 detik oleh aplikasi seluler. Untuk mengimbangi kemungkinan kemiringan waktu antara klien dan server, kami mengizinkan token tambahan sebelum dan sesudah waktu saat ini. Hal ini memungkinkan adanya waktu condong hingga 30 detik antara server otentikasi dan klien. Jika Anda mengalami masalah dengan sinkronisasi waktu yang buruk, Anda dapat meningkatkan jendela dari ukuran default 3 kode yang diizinkan (satu kode sebelumnya, satu kode saat ini, kode berikutnya) menjadi 17 kode yang diizinkan (8 kode sebelumnya, satu kode saat ini, 8 kode berikutnya). Ini akan mengizinkan untuk waktu condong hingga 4 menit antara klien dan server. Apakah Anda ingin melakukannya? (y / n): ” Masukkan "N"
- “Jika komputer yang Anda masuki tidak diperkuat terhadap upaya masuk brute-force, Anda dapat mengaktifkan pembatasan kecepatan untuk modul autentikasi. Secara default, ini membatasi penyerang tidak lebih dari 3 upaya login setiap 30 detik. Apakah Anda ingin mengaktifkan pembatasan kecepatan? (y / n): ” Masukkan "Y"
- Sekarang, luncurkan aplikasi Google Authenticator di smartphone Anda dan tekan ikon plus di bagian atas layar. Pindai kode QR yang ditampilkan di perangkat Pi Anda untuk memasangkan kedua perangkat. Anda sekarang akan ditampilkan dengan kode otentikasi sepanjang waktu kapan pun Anda membutuhkannya untuk masuk. Anda tidak perlu membuat kode. Anda cukup meluncurkan aplikasi dan mengetik yang sedang ditampilkan saat itu.
Langkah 4: Mengonfigurasi Modul Otentikasi PAM Dengan SSH Anda
Luncurkan terminal Anda dan ketik perintah berikut: sudo nano /etc/pam.d/sshd
Ketik perintah berikut seperti yang ditunjukkan:
Jika Anda ingin dimintai kunci sandi melalui aplikasi Google Authenticator sebelum memasukkan sandi Anda, ketik perintah berikut sebelum perintah yang diketik sebelumnya:
Jika Anda ingin dimintai kunci pas setelah kata sandi Anda dimasukkan, ketikkan perintah yang sama ini, kecuali masukkan setelah set perintah # 2FA sebelumnya. Simpan perubahan Anda dengan menekan [Ctrl] + [O] dan kemudian keluar dari jendela dengan menekan [Ctrl] + [X].
Langkah 5: Tutup Aliran SSH Paralel
Sekarang setelah Anda selesai menyiapkan autentikasi multi faktor, Anda dapat menutup salah satu aliran paralel yang kita tuju. Untuk melakukan ini, ketik perintah berikut:
Aliran jaring pengaman cadangan kedua Anda masih berjalan. Anda akan terus menjalankan ini sampai Anda memverifikasi bahwa otentikasi multi faktor Anda berfungsi dengan benar. Untuk melakukan ini, luncurkan koneksi SSH baru dengan mengetik:
Alih-alih nama pengguna, ketik nama pengguna perangkat Anda. Alih-alih nama pi, ketikkan nama perangkat pi Anda.
Prosedur login sekarang akan dilakukan. Ketik kata sandi Anda dan kemudian masukkan kode yang ditampilkan di aplikasi Google Authenticator Anda saat ini. Berhati-hatilah untuk menyelesaikan kedua langkah dalam tiga puluh detik. Jika Anda berhasil masuk, Anda dapat masuk kembali dan mengulangi langkah sebelumnya untuk menutup aliran jaring pengaman paralel yang telah kami jalankan. Jika Anda telah mengikuti semua langkah dengan benar, Anda seharusnya dapat melanjutkan dengan otentikasi multi faktor pada perangkat Raspberry Pi Anda sekarang.
Kata-Kata Terakhir
Seperti halnya proses autentikasi apa pun yang Anda lakukan pada perangkat atau akun apa pun, faktor tambahan ini membuatnya lebih aman daripada sebelumnya, tetapi tidak membuatnya benar-benar aman. Berhati-hatilah saat menggunakan perangkat Anda. Waspadai potensi penipuan, serangan phishing, dan pencurian dunia maya yang dapat menyebabkan perangkat Anda. Lindungi perangkat kedua Anda yang telah Anda siapkan proses pengambilan kode dan jaga keamanannya juga. Anda akan membutuhkan perangkat ini setiap saat untuk kembali ke sistem Anda. Simpan kode cadangan Anda di lokasi yang diketahui dan aman jika Anda pernah berada di posisi di mana Anda tidak memiliki akses ke perangkat cadangan ponsel cerdas Anda.