So richten Sie die Zwei-Faktor-Authentifizierung für Raspberry Pi ein

SSH ist eine der beliebtesten Möglichkeiten, Ihren Raspberry Pi von Ihrem Laptop oder PC aus zu steuern. Hier erfahren Sie, wie Sie die Zwei-Faktor-Authentifizierung für Ihren SSH-Zugriff auf Raspberry Pi einrichten und ihm eine zusätzliche Sicherheitsebene hinzufügen.

Notiz: Wenn Sie eine SSH-Schlüsseldatei für den Zugriff auf Ihren Raspberry Pi verwenden, wird die Zwei-Faktor-Authentifizierung nicht verwendet.

Index
  1. Aktualisieren Sie Ihren Pi
  2. Aktivieren Sie SSH
    1. Erfordert eine Identitätsauthentifizierung mit Challenge-Response
  3. Einrichten der Zwei-Faktor-Authentifizierung
    1. Erstellen Sie eine Verbindung: Verknüpfen Sie Ihren Pi mit Ihrem Mobilgerät
    2. Pluggable Authentifizierungsmodule für Linux

Aktualisieren Sie Ihren Pi

Vorausgesetzt, Sie haben Ihren Raspberry Pi bereits mit Raspberry Pi OS eingerichtet, prüfen Sie am besten zunächst, ob Ihre gesamte Software auf dem neuesten Stand ist. Öffnen Sie ein Terminal und geben Sie den folgenden Befehl ein:

sudo apt update && sudo apt -y upgrade
Aktivieren Sie SSH
Bei Raspberry Pi OS ist der SSH-Server standardmäßig deaktiviert.  Bevor Sie über SSH eine Verbindung zu Ihrem Pi herstellen können, müssen Sie ihn aktivieren, indem Sie die folgenden Terminalbefehle ausführen:


sudo systemctl aktiviert ssh. sudo systemctl startet ssh
Sie können sich nun mit dem SSH-Server verbinden.
Erfordert eine Identitätsauthentifizierung mit Challenge-Response
Letztendlich muss Ihr Raspberry Pi Sie auffordern, Ihre Identität zu authentifizieren und dann Ihre Antwort zu verarbeiten, was bedeutet, dass Sie Challenge-Response-Passwörter aktivieren müssen.
Öffnen Sie zunächst die SSH-Konfigurationsdatei zur Bearbeitung, indem Sie den folgenden Terminalbefehl ausführen:


sudo nano /etc/ssh/sshd_config
Suchen Sie in dieser Datei den Abschnitt „ChallengeResponseAuthentication“ und ändern Sie ihn von „Nein“ in „Ja“.
Sie können nun die aktualisierte Datei „sshd_config“ speichern, indem Sie Strg + O und anschließend Strg + X drücken.
Zurück im Terminal starten Sie den SSH-Daemon mit Ihrer neuen Konfiguration neu:


sudo systemctl ssh neu starten
Da Änderungen an der SSH-Konfiguration vorgenommen wurden, empfiehlt es sich zu überprüfen, ob Sie weiterhin über SSH eine Verbindung zu Ihrem Raspberry Pi herstellen können.
Um eine Verbindung zum SSH-Server herzustellen, müssen Sie die IP-Adresse Ihres Raspberry Pi kennen.  Wenn Sie diese Informationen noch nicht haben, führen Sie den folgenden Befehl auf Ihrem Pi aus:
Dadurch wird die IP-Adresse zurückgegeben, die Sie verwenden müssen.
Wechseln Sie zu Ihrem Laptop oder Computer, starten Sie ein Terminal und stellen Sie dann eine Verbindung zu Ihrem Raspberry Pi her. Ersetzen Sie dabei unbedingt „10.3.000.0“ durch Ihre eindeutige IP-Adresse:
Sie sind jetzt über SSH verbunden.
Einrichten der Zwei-Faktor-Authentifizierung
Laden Sie als Nächstes die Authenticator-Anwendung herunter, um den einmaligen Authentifizierungscode zu generieren.  Es gibt verschiedene Authentifizierungs-Apps auf dem Markt, aber ich verwende für dieses Tutorial Google Authenticator, das für beide verfügbar ist iOS Und Android.
Nachdem Sie diese mobile Anwendung heruntergeladen haben, müssen Sie auch das Google Authenticator PAM-Modul auf Ihrem Raspberry Pi installieren.
Öffnen Sie auf Ihrem Pi ein Terminalfenster und führen Sie den folgenden Befehl aus:


sudo apt install libpam-google-authenticator
Sobald Google Authenticator sowohl auf Ihrem Raspberry Pi als auch auf Ihrem Mobilgerät installiert ist, können Sie die Zwei-Faktor-Authentifizierung einrichten.
Erstellen Sie eine Verbindung: Verknüpfen Sie Ihren Pi mit Ihrem Mobilgerät
Um eine Verbindung zwischen Ihrer mobilen Anwendung und Ihrem Raspberry Pi herzustellen, generieren Sie einen QR-Code auf Ihrem Pi und scannen Sie diesen Code dann mit Ihrem Smartphone oder Tablet.
Um den QR-Code zu generieren, wechseln Sie zurück zu Ihrem Raspberry Pi und führen Sie den folgenden Terminal-Befehl aus:
Ihr Raspberry Pi fragt Sie, ob seine Authentifizierungstoken zeitlich begrenzt werden sollen.  Da es sicherer ist, möchten Sie in der Regel zeitbasierte Authentifizierungstoken generieren, es sei denn, Sie haben einen bestimmten Grund, dies nicht zu tun.
Das Terminal generiert einen QR-Code. Möglicherweise müssen Sie jedoch die Größe des Terminals ändern, um den vollständigen Barcode anzuzeigen.
Es gibt auch eine Reihe von Notfallcodes.  Sollten Sie Ihr Mobilgerät jemals verlieren, verlegen oder kaputt machen, ermöglichen Ihnen diese Codes den Zugriff auf Ihren Raspberry Pi über SSH, auch ohne Ihr Mobilgerät.  Gehen Sie nicht das Risiko ein, von Ihrem Raspberry Pi ausgeschlossen zu werden.  Notieren Sie sich diese Codes und bewahren Sie sie an einem sicheren Ort auf.
Verwenden Sie diesen QR-Code, um Ihren Raspberry Pi mit der Google Authenticator-App zu verbinden:
1. Starten Sie auf Ihrem Smartphone oder Tablet die Google Authenticator-App.
2. Tippen Sie unten rechts auf das „+“-Zeichen.
3. Wählen Sie „QR-Barcode scannen“.  Wenn Sie dazu aufgefordert werden, erteilen Sie der App die Berechtigung, auf die Kamera Ihres Geräts zuzugreifen.
4. Halten Sie die Kamera Ihres Geräts an Ihren Monitor und positionieren Sie sie über dem QR-Code.  Sobald Ihr Smartphone oder Tablet den QR-Code erkennt, erstellt es ein Konto und beginnt automatisch mit der Generierung von Authentifizierungscodes.
5. Wechseln Sie zurück zu Ihrem Raspberry Pi;  Das Terminal fordert Sie auf, Ihre Datei „google_authenticator“ zu aktualisieren.  Drücken Sie die Y-Taste auf Ihrer Tastatur.
6. Sie werden gefragt, ob Sie verhindern möchten, dass mehrere Personen dasselbe Authentifizierungstoken verwenden.  Drücken Sie die Y-Taste auf Ihrer Tastatur.
7. Wenn Sie gefragt werden, ob Sie das Zeitversatzfenster vergrößern möchten, drücken Sie N, da dies zum Schutz vor Brute-Force-Angriffen beiträgt.
8. Das Terminal fordert Sie nun auf, die Ratenbegrenzung zu aktivieren, die Sie (und potenzielle Hacker!) auf drei Anmeldeversuche alle 30 Sekunden beschränkt.  Durch die Ratenbegrenzung können Sie sich vor Brute-Force-Angriffen und anderen passwortbasierten Angriffen schützen. Sie sollten sich daher für „Ja“ entscheiden, es sei denn, Sie haben einen bestimmten Grund, dies nicht zu tun.
Pluggable Authentifizierungsmodule für Linux
Schließlich müssen Sie die Zwei-Faktor-Authentifizierung für Ihren Raspberry Pi mithilfe der Linux Pluggable Authentication Modules (PAM) aktivieren.
Öffnen Sie zunächst die Datei „sshd“ im Nano-Texteditor:


sudo nano /etc/pam.d/sshd
Fügen Sie die folgende Zeile hinzu:


Authentifizierung erforderlich pam_google_authenticator.so
Es ist jedoch wichtig, wo Sie die folgende Zeile hinzufügen:
1. Nach Eingabe Ihres Passwortes
Wenn Sie nach der Eingabe des Passworts Ihres Raspberry Pi zur Eingabe eines einmaligen Authentifizierungscodes aufgefordert werden möchten, fügen Sie diese Zeile nach @include ein.
2. Bevor Sie Ihr Passwort eingeben
Wenn Sie vor der Eingabe Ihres Passworts zur Eingabe Ihres einmaligen Authentifizierungscodes aufgefordert werden möchten, fügen Sie diese Zeile vor @include ein.
Sobald Sie diese Änderungen vorgenommen haben, speichern Sie Ihre Datei, indem Sie Strg + O und anschließend Strg + X drücken.
Starten Sie den SSH-Daemon neu:


sudo systemctl ssh neu starten
Jedes Mal, wenn Sie versuchen, eine Verbindung über SSH herzustellen, werden Sie nach einem einmaligen Bestätigungscode gefragt.
Nachdem Sie nun die Zwei-Faktor-Authentifizierung auf Ihrem Raspberry Pi eingerichtet haben, können Sie mit der Einrichtung Ihres persönlichen Webservers oder eines Musikservers fortfahren.  Mit diesen Tricks können Sie auch die Sicherheit Ihres SSH weiter erhöhen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Go up