Le Raspberry Pi est un ordinateur monocarte populaire qui est devenu à la mode ces dernières années. En raison de sa popularité croissante et de son utilisation courante chez les codeurs débutants et les passionnés de technologie, il est devenu une cible pour les cybercriminels de faire ce qu'ils aiment faire le mieux: le cyber-vol. Tout comme avec les appareils PC ordinaires que nous protégeons avec de nombreux pare-feu et mots de passe, il devient de plus en plus important de protéger votre appareil Raspberry Pi avec une protection à multiples facettes similaire.
Tarte aux framboises
L'authentification multifacteur fonctionne en combinant au moins deux des éléments suivants pour vous permettre d'accéder à votre compte ou appareil. Les trois grandes catégories à partir desquelles fournir des informations sur l'octroi d'accès sont: quelque chose que vous savez, quelque chose que vous avez et quelque chose que vous êtes. La première catégorie peut être un mot de passe ou un code PIN que vous avez configuré pour votre compte ou votre appareil. En tant que couche de protection supplémentaire, vous devrez peut-être fournir quelque chose de la deuxième catégorie, comme une broche générée par le système qui est envoyée à votre smartphone ou générée sur un autre appareil que vous possédez. Comme troisième alternative, vous pouvez également incorporer quelque chose de la troisième catégorie, comprenant des clés physiques telles que l'identification biométrique qui comprend la reconnaissance faciale, l'empreinte du pouce et l'analyse rétinienne en fonction de la capacité de votre appareil à effectuer ces analyses.
Pour les besoins de cette configuration, nous utiliserons les deux modes d'authentification les plus courants: votre mot de passe défini et un jeton unique généré via votre smartphone. Nous intégrerons les deux étapes avec google et recevrons votre mot de passe via l'application d'authentification de Google (qui remplace la nécessité de recevoir des codes SMS sur votre téléphone portable).
Étape 1: Obtenez l'application Google Authenticator
L'application Google Authenticator sur le Google Play Store.
Avant de commencer à configurer votre appareil, nous allons télécharger et installer l'application google Authenticator sur votre smartphone. Accédez à l'App Store d'Apple, au Google Play Store ou à la boutique respective de l'appareil que vous utilisez. Téléchargez l'application Google Authenticator et attendez la fin de son installation. D'autres applications d'authentification telles que l'authentificateur de Microsoft peuvent également être utilisées, mais pour notre didacticiel, nous utiliserons l'application d'authentification Google.
Étape 2: Configuration de vos connexions SSH
Les appareils Raspberry Pi fonctionnent normalement sur SSH et nous travaillerons également sur la configuration de notre authentification multifacteur sur SSH. Nous allons créer deux connexions SSH pour ce faire pour la raison suivante: nous ne voulons pas que vous soyez verrouillé hors de votre appareil et au cas où vous seriez bloqué d'un flux, la seconde vous donnera une autre chance de revenir. Il s’agit simplement d’un filet de sécurité que nous mettons en place pour votre bien: l’utilisateur propriétaire de l’appareil. Nous maintiendrons ce deuxième flux de filet de sécurité tout au long du processus de configuration jusqu'à ce que toute la configuration soit terminée et nous nous sommes assurés que votre authentification multifacteur fonctionne correctement. Si vous effectuez les étapes suivantes de manière réfléchie et prudente, la configuration de votre authentification ne devrait poser aucun problème.
L'interface Raspberry Pi.
Lancez deux fenêtres de terminal et tapez la commande suivante dans chacune. Il s'agit de mettre en place les deux flux en parallèle.
ssh username@piname.local
Au lieu du nom d'utilisateur, saisissez le nom d'utilisateur de votre appareil. Au lieu du nom pi, saisissez le nom de votre appareil pi.
Après avoir appuyé sur Entrée, vous devriez recevoir un message de bienvenue dans les deux fenêtres du terminal affichant le nom de votre appareil et votre nom d'utilisateur.
Ensuite, nous éditerons le fichier sshd_config. Pour ce faire, tapez la commande suivante dans chaque fenêtre. N'oubliez pas de suivre toutes les étapes de cette section dans les deux fenêtres en parallèle.
sudo nano / etc / ssh / sshd_config
Faites défiler vers le bas et trouvez où il est dit: ChallengeResponseAuthentication non
Remplacez le «non» par un «oui» en tapant ceci à sa place. Enregistrez vos modifications en appuyant sur [Ctrl] + [O] puis quittez la fenêtre en appuyant sur [Ctrl] + [X]. Encore une fois, faites cela pour les deux fenêtres.
Relancez les terminaux et saisissez la commande suivante dans chacun pour redémarrer le démon SSH:
sudo systemctl redémarrer ssh
Enfin. Installez Google Authenticator dans votre configuration pour y intégrer votre système. Pour ce faire, tapez la commande suivante:
sudo apt-get install libpam-google-authentication
Vos flux ont maintenant été configurés et vous avez configuré votre authentificateur Google avec votre appareil et votre smartphone jusqu'à présent.
Étape 3: intégration de votre authentification multifacteur avec Google Authenticator
- Lancez votre compte et tapez la commande suivante: authentificateur google
- Entrez «Y» pour les jetons basés sur le temps
- Étirez votre fenêtre pour voir l'intégralité du code QR qui a été généré et scannez-le sur votre smartphone. Cela vous permettra de coupler le service d'authentification de votre Raspberry Pi avec votre application pour smartphone.
- Il y aura des codes de sauvegarde affichés sous le code QR. Notez-les ou prenez-les en photo pour les avoir en réserve au cas où vous ne seriez pas en mesure de vérifier votre authentification multifacteur via l'application Google Authenticator et que vous auriez besoin d'un code de secours pour entrer. Gardez-les en sécurité et ne le faites pas les perdre.
- Vous allez maintenant être invité à poser quatre questions et voici comment vous devrez y répondre en saisissant «O» pour oui ou «N» pour non. (Remarque: les questions ci-dessous sont citées directement à partir du terminal numérique Raspberry Pi afin que vous sachiez exactement à quelles questions vous serez confronté et comment y répondre.)
L'application pour smartphone Google Authenticator sur iOS. Les comptes ont été noircis pour des raisons de sécurité et les chiffres du code de sécurité ont été mélangés et modifiés également.
- 'Voulez-vous que je mette à jour votre fichier' /home/pi/.google_authenticator '?' (o / n): Entrez 'Y'
- «Voulez-vous interdire les utilisations multiples du même jeton d'authentification? Cela vous limite à une connexion toutes les 30 secondes environ, mais augmente vos chances de remarquer ou même d'empêcher les attaques de type 'man-in-the-middle' (o / n): ' Entrez 'Y'
- «Par défaut, un nouveau token est généré toutes les 30 secondes par l'application mobile. Afin de compenser un éventuel décalage temporel entre le client et le serveur, nous autorisons un jeton supplémentaire avant et après l'heure actuelle. Cela permet un décalage de temps allant jusqu'à 30 secondes entre le serveur d'authentification et le client. Si vous rencontrez des problèmes de mauvaise synchronisation de l'heure, vous pouvez augmenter la fenêtre de sa taille par défaut de 3 codes autorisés (un code précédent, un code actuel, le code suivant) à 17 codes autorisés (les 8 codes précédents, un code actuel, le code suivant) 8 codes suivants). Cela permettra un décalage de temps allant jusqu'à 4 minutes entre le client et le serveur. Voulez-vous le faire? (o / n): ' Entrez «N»
- 'Si l'ordinateur auquel vous vous connectez n'est pas protégé contre les tentatives de connexion par force brute, vous pouvez activer la limitation de débit pour le module d'authentification. Par défaut, cela limite les attaquants à pas plus de 3 tentatives de connexion toutes les 30 secondes. Voulez-vous activer la limitation de débit? (o / n): ' Entrez 'Y'
- Maintenant, lancez l'application Google Authenticator sur votre smartphone et appuyez sur l'icône plus en haut de l'écran. Scannez le code QR affiché sur votre appareil Pi pour coupler les deux appareils. Vous serez désormais affiché avec des codes d'authentification 24 heures sur 24 lorsque vous en aurez besoin pour vous connecter. Vous n'aurez pas besoin de générer un code. Vous pouvez simplement lancer l'application et saisir celle qui est affichée à ce moment-là.
Étape 4: Configuration du module d'authentification PAM avec votre SSH
Lancez votre terminal et tapez la commande suivante: sudo nano /etc/pam.d/sshd
Tapez la commande suivante comme indiqué:
# 2FA auth requise pam_google_authenticator.so
Si vous souhaitez que votre clé d'accès vous soit demandée via l'application Google Authenticator avant de saisir votre mot de passe, saisissez la commande suivante avant la commande saisie précédemment:
@include common-auth
Si vous voulez qu'on vous demande la clé de passe après la saisie de votre mot de passe, saisissez cette même commande, mais insérez-la après le jeu de commandes # 2FA précédent. Enregistrez vos modifications en appuyant sur [Ctrl] + [O] puis quittez la fenêtre en appuyant sur [Ctrl] + [X].
Étape 5: Fermez le flux SSH parallèle
Maintenant que vous avez terminé la configuration de l'authentification multifacteur, vous pouvez fermer l'un des flux parallèles que nous avons passés. Pour ce faire, tapez la commande suivante:
sudo systemctl redémarrer ssh
Votre deuxième flux de sauvegarde du filet de sécurité est toujours en cours d'exécution. Vous maintiendrez cette opération jusqu'à ce que vous ayez vérifié que votre authentification multifacteur fonctionne correctement. Pour ce faire, lancez une nouvelle connexion SSH en tapant:
ssh username@piname.local
Au lieu du nom d'utilisateur, saisissez le nom d'utilisateur de votre appareil. Au lieu du nom pi, saisissez le nom de votre appareil pi.
La procédure de connexion va maintenant s'exécuter. Tapez votre mot de passe, puis entrez le code affiché sur votre application Google Authenticator à ce moment. Veillez à ce que les deux étapes soient effectuées en trente secondes. Si vous parvenez à vous connecter avec succès, vous pouvez revenir en arrière et répéter l'étape précédente pour fermer le flux de filet de sécurité parallèle que nous avions mis en place. Si vous avez suivi toutes les étapes correctement, vous devriez pouvoir reprendre l'authentification multifacteur sur votre appareil Raspberry Pi maintenant.
Mots finaux
Comme pour tout processus d'authentification que vous mettez en place sur n'importe quel appareil ou compte, ces facteurs supplémentaires le rendent plus sûr qu'auparavant, mais ne le rendent pas absolument sûr. Soyez prudent lorsque vous utilisez votre appareil. Soyez attentif aux escroqueries potentielles, aux attaques de phishing et aux cyber-vols auxquels votre appareil pourrait faire l'objet. Protégez votre deuxième appareil sur lequel vous avez configuré le processus de récupération de code et gardez-le également en sécurité. Vous aurez besoin de cet appareil à chaque fois pour revenir dans votre système. Conservez vos codes de sauvegarde dans un endroit connu et sûr au cas où vous ne seriez jamais dans une position où vous n’auriez pas accès à votre smartphone de sauvegarde.
