كيفية إضافة أمان MFA من خلال جهاز Raspberry Pi Terminal

يعد Raspberry Pi كمبيوترًا ذا لوحة واحدة شهيرًا أصبح كل جنون في السنوات الأخيرة. نظرًا لشعبيتها المتزايدة والاستخدام الشائع بين المبرمجين المبتدئين والمتحمسين للتكنولوجيا ، فقد أصبح هدفًا لمجرمي الإنترنت ليفعلوا ما يحلو لهم: السرقة الإلكترونية. تمامًا كما هو الحال مع أجهزة الكمبيوتر العادية التي نحميها باستخدام العديد من جدران الحماية وكلمات المرور ، أصبح من المهم بشكل متزايد حماية جهاز Raspberry Pi الخاص بك بحماية مماثلة متعددة الأوجه أيضًا.

فطيرة التوت

تعمل المصادقة متعددة العوامل من خلال الجمع بين اثنين أو أكثر مما يلي لمنحك حق الوصول إلى حسابك أو جهازك. الفئات الثلاث العريضة لتوفير الوصول إلى المعلومات التي تمنح الوصول منها هي: شيء تعرفه ، وشيء لديك ، وشيء أنت. قد تكون الفئة الأولى عبارة عن كلمة مرور أو رمز PIN قمت بإعداده لحسابك أو جهازك. كطبقة حماية إضافية ، قد يُطلب منك توفير شيء من الفئة الثانية مثل رقم التعريف الشخصي الذي تم إنشاؤه بواسطة النظام والذي يتم إرساله إلى هاتفك الذكي أو يتم إنشاؤه على جهاز آخر تملكه. كبديل ثالث ، يمكنك أيضًا دمج شيء من الفئة الثالثة ، يتألف من مفاتيح مادية مثل التعرف على المقاييس الحيوية والذي يتضمن التعرف على الوجه وبصمة الإبهام ومسح الشبكية اعتمادًا على قدرة جهازك على إجراء عمليات المسح هذه.

لغرض هذا الإعداد ، سنستخدم وضعي المصادقة الأكثر شيوعًا: كلمة المرور المحددة والرمز المميز لمرة واحدة الذي يتم إنشاؤه من خلال هاتفك الذكي. سنقوم بدمج كلتا الخطوتين مع Google وسنتلقى كلمة المرور الخاصة بك من خلال تطبيق Google Authentator (الذي يحل محل الحاجة إلى تلقي رموز SMS على هاتفك الخلوي).

الخطوة 1: احصل على تطبيق Google Authenticator

تطبيق Google Authenticator على متجر Google Play.

قبل أن نبدأ في إعداد جهازك ، فلنقم بتنزيل وتثبيت تطبيق Google Authenticator على هاتفك الذكي. توجّه إلى متجر تطبيقات Apple أو متجر Google play أو المتجر المعني بأي جهاز تشغّله. قم بتنزيل تطبيق Google Authentator وانتظر حتى ينتهي التثبيت. يمكن أيضًا استخدام تطبيقات المصادقة الأخرى مثل مصادقة Microsoft ، ولكن في برنامجنا التعليمي ، سنستخدم تطبيق Google Authentator.

الخطوة الثانية: إعداد اتصالات SSH

تعمل أجهزة Raspberry Pi عادةً على SSH وسنعمل على تكوين مصادقة متعددة العوامل عبر SSH أيضًا. سننشئ اتصالين SSH للقيام بذلك للسبب التالي: لا نريد أن يتم قفل جهازك ، وفي حالة حظر أحد الدفقين ، سيسمح لك الثاني بفرصة أخرى للعودة . هذه مجرد شبكة أمان نضعها من أجلك: المستخدم الذي يمتلك الجهاز. سنبقي هذا التدفق الثاني لشبكة الأمان مستمرًا طوال عملية الإعداد حتى يكتمل الإعداد بالكامل ، وقد تأكدنا من أن المصادقة متعددة العوامل الخاصة بك تعمل بشكل صحيح. إذا نفذت الخطوات التالية بعناية وحذر ، فلن تكون هناك أي مشكلة في إعداد المصادقة.

واجهة Raspberry Pi.

قم بتشغيل نافذتين طرفيتين واكتب الأمر التالي في كل منهما. هذا لإعداد التيارين على التوازي.

ssh username@piname.local

بدلاً من اسم المستخدم ، اكتب اسم مستخدم جهازك. بدلاً من اسم pi ، اكتب اسم جهاز pi الخاص بك.

بعد الضغط على مفتاح الإدخال ، يجب أن تتلقى رسالة ترحيب في كل من نافذتي المحطة الطرفية تعرض اسم جهازك واسم المستخدم الخاص بك أيضًا.

بعد ذلك ، سنقوم بتحرير ملف sshd_config. للقيام بذلك ، اكتب الأمر التالي في كل نافذة. تذكر أن تقوم بكل الخطوات الواردة في هذا القسم في كلا النافذتين بالتوازي.

sudo nano / etc / ssh / sshd_config

قم بالتمرير لأسفل وابحث عن المكان الذي يقول فيه: ChallengeResponseA المصادقة لا

غيّر 'لا' إلى 'نعم' بكتابة هذا في مكانه. احفظ التغييرات بالضغط على [Ctrl] + [O] ثم اخرج من النافذة بالضغط على [Ctrl] + [X]. مرة أخرى ، افعل هذا لكلا النافذتين.

أعد تشغيل المحطات واكتب الأمر التالي في كل منها لإعادة تشغيل برنامج SSH الخفي:

إعادة تشغيل sudo systemctl ssh

أخيرا. قم بتثبيت Google Authenticator في الإعداد الخاص بك لدمج نظامك معه. للقيام بذلك ، اكتب الأمر التالي:

sudo apt-get install libpam-google-Authenticator

تم الآن إعداد التدفقات الخاصة بك وقمت بتكوين أداة مصادقة Google الخاصة بك مع كل من جهازك وهاتفك الذكي حتى هذه النقطة.

الخطوة 3: دمج المصادقة متعددة العوامل مع Google Authenticator

1. قم بتشغيل حسابك واكتب الأمر التالي: مصدق جوجل
2. أدخل 'Y' للرموز المستندة إلى الوقت
3. قم بمد نافذتك لرؤية رمز الاستجابة السريعة الذي تم إنشاؤه بالكامل ومسحه ضوئيًا على جهاز الهاتف الذكي الخاص بك. سيسمح لك ذلك بإقران خدمة المصادقة الخاصة بـ Raspberry Pi مع تطبيق هاتفك الذكي.
4. سيكون هناك بعض رموز النسخ الاحتياطي معروضة أسفل رمز الاستجابة السريعة. قم بتدوينها أو التقاط صورة لها للاحتفاظ بها في حالة عدم قدرتك على التحقق من مصادقتك متعددة العوامل من خلال تطبيق Google Authenticator وينتهي بك الأمر بالحاجة إلى رمز احتياطي للدخول. احتفظ بها في أمان ولا تفعل ذلك تخسرهم.
5. ستتم مطالبتك بأربعة أسئلة الآن وإليك كيف ستحتاج إلى الإجابة عليها عن طريق إدخال إما 'Y' للإجابة على 'نعم' أو 'N' للرفض. (ملاحظة: تم اقتباس الأسئلة الواردة أدناه مباشرة من محطة Raspberry Pi الرقمية حتى تعرف بالضبط الأسئلة التي ستواجهها وكيفية الرد عليها.)

   تطبيق Google Authenticator Smartphone على iOS. تم حجب الحسابات لأسباب أمنية وتم تغيير أرقام رمز الأمان وتغييرها أيضًا.

   • 'هل تريد مني تحديث ملف' /home/pi/.google_authenticator '؟ (ص / ن): أدخل 'Y'
   • 'هل تريد عدم السماح باستخدامات متعددة لرمز المصادقة نفسه؟ يقيدك هذا بتسجيل دخول واحد كل 30 ثانية ولكنه يزيد من فرصك في ملاحظة أو حتى منع هجمات man-in-the-middle (y / n): ' أدخل 'Y'
   • 'بشكل افتراضي ، يتم إنشاء رمز جديد كل 30 ثانية بواسطة تطبيق الهاتف المحمول. للتعويض عن الانحراف الزمني المحتمل بين العميل والخادم ، نسمح برمز إضافي قبل الوقت الحالي وبعده. يتيح ذلك انحرافًا زمنيًا يصل إلى 30 ثانية بين خادم المصادقة والعميل. إذا كنت تواجه مشكلات في تزامن الوقت الضعيف ، فيمكنك زيادة النافذة من حجمها الافتراضي المكون من 3 رموز مسموح بها (رمز سابق واحد ، رمز حالي واحد ، الرمز التالي) إلى 17 رمزًا مسموحًا به (الرموز الثمانية السابقة ، رمز واحد حالي ، الرمز الحالي الرموز الثمانية التالية). سيسمح هذا بانحراف زمني يصل إلى 4 دقائق بين العميل والخادم. هل تريد ان تفعل ذلك؟ (ص / ن): ' أدخل 'N'
   • 'إذا لم يكن الكمبيوتر الذي تسجل الدخول إليه محصنًا ضد محاولات تسجيل الدخول باستخدام القوة الغاشمة ، فيمكنك تمكين تحديد المعدل لوحدة المصادقة. بشكل افتراضي ، يحد هذا من المهاجمين بما لا يزيد عن 3 محاولات تسجيل دخول كل 30 ثانية. هل تريد تمكين تحديد المعدل؟ (ص / ن): ' أدخل 'Y'
6. الآن ، قم بتشغيل تطبيق Google Authenticator على هاتفك الذكي واضغط على أيقونة علامة الجمع الموجودة أعلى الشاشة. امسح رمز الاستجابة السريعة المعروض على جهاز Pi الخاص بك لإقران الجهازين. سيتم عرضك الآن مع رموز المصادقة على مدار الساعة متى احتجت إليها لتسجيل الدخول. لن تحتاج إلى إنشاء رمز. يمكنك ببساطة تشغيل التطبيق وكتابة التطبيق المعروض في تلك اللحظة.

الخطوة 4: تكوين وحدة مصادقة PAM باستخدام SSH الخاص بك

قم بتشغيل الجهاز الطرفي واكتب الأمر التالي: sudo nano /etc/pam.d/sshd

اكتب الأمر التالي كما هو موضح:

# 2FA المصادقة مطلوبة pam_google_authenticator.so

إذا كنت تريد أن يُطلب منك مفتاح المرور من خلال تطبيق Google Authenticator قبل إدخال كلمة المرور ، فاكتب الأمر التالي قبل الأمر الذي كتبته مسبقًا:

تضمين @ المصادقة المشتركة

إذا كنت تريد أن يُطلب منك مفتاح المرور بعد إدخال كلمة المرور الخاصة بك ، فاكتب هذا الأمر نفسه ، باستثناء وضعه بعد مجموعة أوامر # 2FA السابقة. احفظ التغييرات بالضغط على [Ctrl] + [O] ثم اخرج من النافذة بالضغط على [Ctrl] + [X].

الخطوة 5: أغلق دفق SSH المتوازي

الآن بعد أن انتهيت من إعداد المصادقة متعددة العوامل ، يمكنك إغلاق أحد التدفقات المتوازية التي بدأناها. للقيام بذلك ، اكتب الأمر التالي:

إعادة تشغيل sudo systemctl ssh

لا يزال دفق شبكة الأمان الاحتياطية الثاني قيد التشغيل. ستستمر في تشغيل هذا حتى تتحقق من أن المصادقة متعددة العوامل تعمل بشكل صحيح. للقيام بذلك ، قم بتشغيل اتصال SSH جديد عن طريق كتابة:

ssh username@piname.local

بدلاً من اسم المستخدم ، اكتب اسم مستخدم جهازك. بدلاً من اسم pi ، اكتب اسم جهاز pi الخاص بك.

سيتم الآن تنفيذ إجراء تسجيل الدخول. اكتب كلمة المرور الخاصة بك ثم أدخل الرمز المعروض في تطبيق Google Authenticator في هذا الوقت. كن حذرًا لإنجاز كلتا الخطوتين في ثلاثين ثانية. إذا كنت قادرًا على تسجيل الدخول بنجاح ، فيمكنك العودة وتكرار الخطوة السابقة لإغلاق تيار شبكة الأمان الموازي الذي كان يعمل في مكانه. إذا اتبعت جميع الخطوات بشكل صحيح ، فيجب أن تكون قادرًا على استئناف المصادقة متعددة العوامل على جهاز Raspberry Pi الآن.

الكلمات الأخيرة

كما هو الحال مع أي عملية مصادقة تنفذها على أي جهاز أو حساب ، فإن هذه العوامل الإضافية تجعله أكثر أمانًا من ذي قبل ولكن لا تجعله آمنًا تمامًا. كن حذرًا عند استخدام جهازك. احذر من عمليات الاحتيال المحتملة وهجمات التصيد والسرقة الإلكترونية التي قد يتعرض لها جهازك. قم بحماية جهازك الثاني الذي قمت بإعداد عملية استرداد الرمز عليه وحافظ على أمانه أيضًا. ستحتاج إلى هذا الجهاز في كل مرة للعودة إلى نظامك. احتفظ برموزك الاحتياطية في مكان معروف وآمن إذا كنت في أي وقت مضى في وضع لا يمكنك فيه الوصول إلى جهاز الهاتف الذكي الاحتياطي.