Cómo configurar la autenticación de dos factores en Raspberry Pi

Habilitar la autenticación de dos factores (2FA) para aumentar la seguridad de sus cuentas importantes es cada vez más común en estos días.

Sin embargo, te sorprenderá saber que puedes hacer lo mismo con tu Raspberry Pi. Puede habilitar 2FA en Raspberry Pi y luego se le solicitará un código de verificación cuando acceda de forma remota a través de Secure Shell (SSH). La autenticación de dos factores es una capa adicional de protección. Además de una contraseña, “algo que sabes”, necesitas un dato más para iniciar sesión. Este segundo factor se basa en “algo que tienes”, como un smartphone, o “algo que eres”, como datos biométricos. información.

Continuaremos y configuraremos "algo que tenga" y usaremos su teléfono inteligente como el segundo factor para proteger su Raspberry Pi. Mucha gente usa una Raspberry Pi como servidor de archivos o de medios en casa. Esto se ha vuelto bastante común con la introducción de Raspberry Pi 4, que tiene USB 3 y Gigabit Ethernet. Sin embargo, al configurar este tipo de servidor, a menudo desea ejecutarlo "sin cabeza". sin monitor, teclado o mouse.

Esto es especialmente cierto si tiene la intención de ocultar su Raspberry Pi detrás de su televisor o en otro lugar. En cualquier caso, esto significa que debe habilitar Secure Shell (SSH) para el acceso remoto. Sin embargo, también es común configurar su servidor para que pueda acceder a sus archivos cuando está fuera de casa, haciendo que su Raspberry Pi sea accesible a través de Internet.

Actualiza tu pi

Suponiendo que ya configuró su Raspberry Pi con el sistema operativo Raspberry Pi, es mejor verificar primero que todo su software esté actualizado. Abra una terminal y escriba el siguiente comando: sudo apt actualizar && sudo apt -y actualizar

Habilitar SSH

Raspberry Pi OS tiene el servidor SSH desactivado de forma predeterminada. Antes de que pueda conectarse a su Pi a través de SSH, debe habilitarlo ejecutando los siguientes comandos de Terminal:

sudo systemctl habilitar ssh

sudo systemctl iniciar ssh

Requerir autenticación de identidad, con desafío-respuesta

En última instancia, su Raspberry Pi debe desafiarlo a autenticar su identidad y luego procesar su respuesta, lo que significa que debe habilitar contraseñas de desafío y respuesta. Para comenzar, abra el archivo de configuración de SSH para editarlo ejecutando el siguiente comando de Terminal: sudo nano /etc/ssh/sshd_config

Dentro de este archivo, busque la sección Autenticación de respuesta de desafío y cámbiela de 'no' a 'sí'. Ahora puede guardar el archivo "sshd_config" actualizado presionando Ctrl + O, seguido de Ctrl + X. De vuelta en la Terminal, reinicie el demonio SSH con su nueva configuración: sudo systemctl reiniciar ssh

Dado que se han realizado cambios en la configuración de SSH, es una buena idea verificar que aún puede conectarse a su Raspberry Pi a través de SSH. Para conectarse al servidor SSH, necesitará conocer la dirección IP de su Raspberry Pi. Si aún no tiene esta información, ejecute el siguiente comando en su Pi:

Esto devolverá la dirección IP que necesita usar. Cambie a su computadora portátil o computadora, inicie una Terminal y luego conéctese a su Raspberry Pi, asegurándose de reemplazar "10.3.000.0" con su dirección IP única:

Configuración de la autenticación de dos factores

A continuación, descargue la aplicación Authenticator para generar un código de autenticación único. Hay varias aplicaciones de autenticación en el mercado, pero estoy usando Google Authenticator para este tutorial, que está disponible tanto para iOS como para Android.

Una vez que haya descargado esta aplicación móvil, también deberá instalar el módulo PAM de Google Authenticator en su Raspberry Pi. En su Pi, abra una ventana de Terminal y ejecute el siguiente comando: sudo apt install libpam-google-autenticador

Una vez que Google Authenticator esté instalado tanto en su Raspberry Pi como en su dispositivo móvil, estará listo para configurar la autenticación de dos factores.

Crea una conexión: vinculando tu Pi a tu dispositivo móvil

Para crear un enlace entre su aplicación móvil y su Raspberry Pi, genere un código QR en su Pi y luego escanee este código con su teléfono inteligente o tableta. Para generar el código QR, vuelva a su Raspberry Pi y ejecute el siguiente comando de Terminal:

Su Raspberry Pi le preguntará si sus tokens de autenticación deben tener una restricción de tiempo. Dado que es más seguro, normalmente desea generar tokens de autenticación basados ​​en el tiempo a menos que tenga una razón específica para no hacerlo. La Terminal generará un código QR, aunque es posible que deba cambiar el tamaño de la Terminal para ver el código de barras completo.

También hay una serie de códigos de emergencia. Si alguna vez pierde, extravía o rompe su dispositivo móvil, estos códigos le permitirán acceder a su Raspberry Pi a través de SSH, incluso sin su dispositivo móvil. No se arriesgue a quedarse sin acceso a su Raspberry Pi. Tome nota de estos códigos y guárdelos en un lugar seguro. Use este código QR para conectar su Raspberry Pi a la aplicación Google Authenticator:

  • En su teléfono inteligente o tableta, inicie la aplicación Google Authenticator.
  • En la esquina inferior derecha, toque el signo "+".
  • Seleccione "Escanear un código de barras QR". Cuando se le solicite, dé permiso a la aplicación para acceder a la cámara de su dispositivo.
  • Sostenga la cámara de su dispositivo frente a su monitor y colóquela sobre el código QR. Tan pronto como su teléfono inteligente o tableta reconozca el código QR, creará una cuenta y comenzará a generar códigos de autenticación automáticamente.
  • Vuelve a tu Raspberry Pi; Terminal le pedirá que actualice su archivo "google_authenticator". Presione la tecla Y en su teclado.
  • Se le preguntará si desea evitar que varias personas utilicen el mismo token de autenticación. Presione la tecla Y en su teclado.
  • Cuando se le pregunte si desea aumentar la ventana de omisión de tiempo, presione N, ya que esto ayudará a protegerse contra los ataques de fuerza bruta.
  • La terminal ahora le pedirá que habilite la limitación de velocidad, lo que lo restringirá a usted (¡y a los posibles piratas informáticos!) a tres intentos de inicio de sesión cada 30 segundos. La limitación de velocidad puede ayudar a proteger contra la fuerza bruta y otros ataques basados ​​en contraseñas, por lo que debe optar por "Sí" a menos que tenga una razón específica para no hacerlo.

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Gracias ☺️

Articulos tematica computadoras

Fecha actualizacion el 2022-01-24. Fecha publicacion el 2022-01-24. Categoria: computadoras Autor: Oscar olg Mapa del sitio Fuente: bollyinside