SSH là một trong những cách phổ biến nhất để điều khiển Raspberry Pi từ máy tính xách tay hoặc PC của bạn. Tại đây, bạn sẽ tìm hiểu cách thiết lập xác thực hai yếu tố cho quyền truy cập SSH của bạn vào Raspberry Pi và thêm một lớp bảo mật bổ sung cho nó.
Lưu ý :Nếu bạn đang sử dụng tệp khóa SSH để truy cập Raspberry Pi của mình, xác thực hai yếu tố sẽ không được sử dụng.
Cập nhật số Pi của bạn
Giả sử bạn đã thiết lập Raspberry Pi của mình với Hệ điều hành Raspberry Pi, tốt nhất trước tiên hãy kiểm tra xem tất cả phần mềm của bạn đã được cập nhật chưa. Mở một thiết bị đầu cuối và nhập lệnh sau:
sudo apt update && sudo apt -y upgrade
Bật SSH
Hệ điều hành Raspberry Pi có máy chủ SSH bị tắt theo mặc định. Trước khi có thể kết nối với Pi của mình qua SSH, bạn cần kích hoạt nó bằng cách chạy các lệnh Terminal sau:
sudo systemctl enable ssh sudo systemctl start ssh
Bây giờ bạn có thể kết nối với máy chủ SSH.
Yêu cầu xác thực nhận dạng, với phản hồi thử thách
Cuối cùng, Raspberry Pi của bạn cần phải thách thức bạn xác thực danh tính và sau đó xử lý phản hồi của bạn, có nghĩa là bạn cần bật mật khẩu phản hồi thử thách.
Để bắt đầu, hãy mở tệp cấu hình SSH để chỉnh sửa bằng cách chạy lệnh Terminal sau:
sudo nano /etc/ssh/sshd_config
Trong tệp này, hãy tìm ChallengeResponseAuthentication và thay đổi nó từ “không” thành “có”.
Bây giờ bạn có thể lưu tệp “sshd_config” đã cập nhật bằng cách nhấn Ctrl + O , theo sau là Ctrl + X .
Quay lại Terminal, khởi động lại daemon SSH với cấu hình mới của bạn:
sudo systemctl restart ssh
Vì các thay đổi đã được thực hiện đối với cấu hình SSH, bạn nên kiểm tra xem bạn vẫn có thể kết nối với Raspberry Pi của mình qua SSH hay không.
Để kết nối với máy chủ SSH, bạn cần biết địa chỉ IP của Raspberry Pi của mình. Nếu bạn chưa có thông tin này, hãy chạy lệnh sau trên Pi của bạn:
hostname -I
Thao tác này sẽ trả về địa chỉ IP bạn cần sử dụng.
Chuyển sang máy tính xách tay hoặc máy tính của bạn, khởi chạy Thiết bị đầu cuối và sau đó kết nối với Raspberry Pi của bạn, đảm bảo thay thế “10.3.000.0” bằng địa chỉ IP duy nhất của bạn:
ssh pi@10.3.000.0
Bạn hiện được kết nối qua SSH.
Thiết lập xác thực hai yếu tố
Tiếp theo, tải xuống ứng dụng Authenticator để tạo mã xác thực một lần. Có nhiều ứng dụng xác thực khác nhau trên thị trường, nhưng tôi đang sử dụng Google Authenticator cho hướng dẫn này, có sẵn cho cả iOS và Android.
Sau khi tải xuống ứng dụng di động này, bạn cũng cần cài đặt mô-đun Google Authenticator PAM trên Raspberry Pi của mình.
Trên Pi của bạn, mở cửa sổ Terminal và chạy lệnh sau:
sudo apt install libpam-google-authenticator
Sau khi Google Authenticator được cài đặt trên cả Raspberry Pi và thiết bị di động của bạn, bạn đã sẵn sàng thiết lập xác thực hai yếu tố.
Tạo kết nối:liên kết Pi với thiết bị di động của bạn
Để tạo liên kết giữa ứng dụng di động và Raspberry Pi của bạn, hãy tạo mã QR trên Pi và sau đó quét mã này bằng điện thoại thông minh hoặc máy tính bảng của bạn.
Để tạo mã QR, hãy chuyển về Raspberry Pi của bạn và chạy lệnh Terminal sau:
google-authenticator
Raspberry Pi của bạn sẽ hỏi liệu mã thông báo xác thực của nó có bị giới hạn thời gian hay không. Vì nó an toàn hơn, nên bạn thường muốn tạo mã thông báo xác thực dựa trên thời gian trừ khi bạn có lý do cụ thể để không làm như vậy.
Thiết bị đầu cuối sẽ tạo mã QR, mặc dù bạn có thể cần phải thay đổi kích thước Thiết bị đầu cuối để xem mã vạch đầy đủ.
Ngoài ra còn có một loạt mã khẩn cấp. Nếu bạn từng làm mất, thất lạc hoặc làm hỏng thiết bị di động của mình, những mã này sẽ cho phép bạn truy cập Raspberry Pi qua SSH, ngay cả khi không có thiết bị di động của bạn. Đừng có nguy cơ bị khóa Raspberry Pi của bạn. Ghi lại những mã này và cất chúng ở nơi an toàn.
Sử dụng mã QR này để kết nối Raspberry Pi của bạn với ứng dụng Google Authenticator:
1. Trên điện thoại thông minh hoặc máy tính bảng của bạn, hãy khởi chạy ứng dụng Google Authenticator.
2. Ở góc dưới cùng bên phải, hãy nhấn vào dấu “+”.
3. Chọn “Quét mã vạch QR”. Khi được nhắc, hãy cấp cho ứng dụng quyền truy cập vào máy ảnh trên thiết bị của bạn.
4. Giữ máy ảnh của thiết bị hướng lên màn hình và định vị nó trên mã QR. Ngay sau khi điện thoại thông minh hoặc máy tính bảng của bạn nhận ra mã QR, nó sẽ tạo tài khoản và bắt đầu tự động tạo mã xác thực.
5. Chuyển trở lại Raspberry Pi của bạn; Terminal sẽ nhắc bạn cập nhật tệp “google_authenticator” của mình. Nhấn Y trên bàn phím của bạn.
6. Bạn sẽ được hỏi liệu bạn có muốn ngăn nhiều người sử dụng cùng một mã xác thực hay không. Nhấn Y trên bàn phím của bạn.
7. Khi được hỏi bạn có muốn tăng cửa sổ lệch thời gian hay không, hãy nhấn N , vì điều này sẽ giúp bảo vệ bạn khỏi các cuộc tấn công vũ phu.
8. Giờ đây, Terminal sẽ yêu cầu bạn bật giới hạn tốc độ, điều này sẽ hạn chế bạn (và các hacker tiềm năng!) Ba lần đăng nhập cứ sau 30 giây. Giới hạn tốc độ có thể giúp bảo vệ bạn khỏi các cuộc tấn công bạo lực và các cuộc tấn công dựa trên mật khẩu khác, vì vậy bạn nên chọn “Có” trừ khi bạn có lý do cụ thể để không làm như vậy.
Mô-đun xác thực có thể cài đặt của Linux
Cuối cùng, bạn cần bật xác thực hai yếu tố cho Raspberry Pi của mình bằng cách sử dụng Mô-đun xác thực có thể cắm được của Linux (PAM).
Để bắt đầu, hãy mở tệp “sshd” trong trình soạn thảo văn bản Nano:
sudo nano /etc/pam.d/sshd
Thêm dòng sau:
auth required pam_google_authenticator.so
Tuy nhiên, nơi bạn thêm các dòng sau lại quan trọng:
1. Sau khi nhập mật khẩu của bạn
Nếu bạn muốn được nhắc nhập mã xác thực một lần sau khi nhập mật khẩu của Raspberry Pi, hãy thêm dòng này sau @include .
2. Trước khi nhập mật khẩu của bạn
Nếu bạn muốn được nhắc nhập mã xác thực một lần trước khi nhập mật khẩu, hãy thêm dòng này trước @include .
Khi bạn đã thực hiện những thay đổi này, hãy lưu tệp của bạn bằng cách nhấn Ctrl + O , theo sau là Ctrl + X .
Khởi động lại daemon SSH:
sudo systemctl restart ssh
Giờ đây, mỗi khi bạn cố gắng kết nối qua SSH, bạn sẽ được yêu cầu nhập mã xác minh một lần.
Bây giờ bạn đã thiết lập xác thực hai yếu tố trên Raspberry Pi của mình, bạn có thể tiến hành thiết lập máy chủ web cá nhân của mình hoặc máy chủ âm nhạc. Bạn cũng có thể tăng cường bảo mật hơn nữa cho SSH của mình bằng các thủ thuật này.