RaspberryPiの2要素認証を設定する方法

SSHは、ラップトップまたはPCからRaspberryPiを制御するための最も一般的な方法の1つです。ここでは、Raspberry PiへのSSHアクセスに2要素認証を設定し、セキュリティの層を追加する方法を学習します。

注 ：SSHキーファイルを使用してRaspberry Piにアクセスしている場合、2要素認証は使用されません。

Piを更新する

Raspberry PiOSを使用してRaspberryPiを既にセットアップしている場合は、最初にすべてのソフトウェアが最新であることを確認することをお勧めします。ターミナルを開き、次のコマンドを入力します。

sudo apt update && sudo apt -y upgrade

SSHを有効にする

Raspberry Pi OSでは、SSHサーバーがデフォルトで無効になっています。 SSH経由でPiに接続する前に、次のターミナルコマンドを実行してPiを有効にする必要があります。

sudo systemctl enable ssh
sudo systemctl start ssh

これでSSHサーバーに接続できるようになります。

チャレンジ/レスポンスを使用したID認証が必要

最終的に、Raspberry Piは、IDを認証してから応答を処理するようにチャレンジする必要があります。つまり、チャレンジレスポンスパスワードを有効にする必要があります。

開始するには、次のターミナルコマンドを実行して、編集用のSSH構成ファイルを開きます。

sudo nano /etc/ssh/sshd_config

このファイル内で、ChallengeResponseAuthenticationを見つけます セクションを作成し、「いいえ」から「はい」に変更します。

Ctrl を押すと、更新された「sshd_config」ファイルを保存できるようになりました。 + O 、続いて Ctrl + X 。

ターミナルに戻り、新しい構成でSSHデーモンを再起動します。

sudo systemctl restart ssh

SSH構成に変更が加えられているため、SSH経由でRaspberryPiに接続できることを確認することをお勧めします。

SSHサーバーに接続するには、RaspberryPiのIPアドレスを知っている必要があります。この情報をまだ持っていない場合は、Piで次のコマンドを実行します。

hostname -I

これにより、使用する必要のあるIPアドレスが返されます。

ラップトップまたはコンピューターに切り替え、ターミナルを起動してからRaspberry Piに接続します。必ず、「10.3.000.0」を一意のIPアドレスに置き換えてください。

ssh pi@10.3.000.0

これでSSH経由で接続されました。

2要素認証の設定

次に、1回限りの認証コードを生成するためのAuthenticatorアプリケーションをダウンロードします。市場にはさまざまな認証アプリがありますが、このチュートリアルではiOSとAndroidの両方で利用できるGoogle認証システムを使用しています。

このモバイルアプリケーションをダウンロードしたら、RaspberryPiにGoogle認証システムPAMモジュールもインストールする必要があります。

Piで、ターミナルウィンドウを開き、次のコマンドを実行します。

sudo apt install libpam-google-authenticator

Google認証システムをRaspberryPiとモバイルデバイスの両方にインストールすると、2要素認証を設定する準備が整います。

接続を作成する：Piをモバイルデバイスにリンクする

モバイルアプリケーションとRaspberryPiの間にリンクを作成するには、PiでQRコードを生成し、スマートフォンまたはタブレットを使用してこのコードをスキャンします。

QRコードを生成するには、Raspberry Piに戻り、次のターミナルコマンドを実行します。

google-authenticator

Raspberry Piは、認証トークンに時間制限を設ける必要があるかどうかを尋ねます。より安全であるため、特別な理由がない限り、通常は時間ベースの認証トークンを生成する必要があります。

ターミナルはQRコードを生成しますが、完全なバーコードを表示するにはターミナルのサイズを変更する必要がある場合があります。

一連の緊急コードもあります。モバイルデバイスを紛失、置き忘れ、または破損した場合、これらのコードを使用すると、モバイルデバイスがなくてもSSH経由でRaspberryPiにアクセスできます。 RaspberryPiからロックアウトされるリスクを冒さないでください。これらのコードをメモして、安全な場所に保管してください。

このQRコードを使用して、RaspberryPiをGoogle認証システムアプリに接続します。

1.スマートフォンまたはタブレットで、Google認証システムアプリを起動します。

2.右下の「+」記号をタップします。

3.「QRバーコードをスキャンする」を選択します。プロンプトが表示されたら、アプリにデバイスのカメラへのアクセスを許可します。

4.デバイスのカメラをモニターにかざし、QRコードの上に配置します。スマートフォンまたはタブレットがQRコードを認識するとすぐに、アカウントが作成され、認証コードの生成が自動的に開始されます。

5.RaspberryPiに切り替えます。ターミナルは、「google_authenticator」ファイルを更新するように求めます。 Yを押します キーボードのキー。

6.複数の人が同じ認証トークンを使用できないようにするかどうかを尋ねられます。 Yを押します キーボードのキー。

7.タイムスキューウィンドウを増やすかどうかを尋ねられたら、 Nを押します。 、これはブルートフォース攻撃からあなたを保護するのに役立ちます。

8.ターミナルは、レート制限を有効にするように要求します。これにより、あなた（および潜在的なハッカー！）は30秒ごとに3回のログイン試行に制限されます。レート制限は、ブルートフォース攻撃やその他のパスワードベースの攻撃からユーザーを保護するのに役立つため、特別な理由がない限り、「はい」を選択する必要があります。

Linuxプラガブル認証モジュール

最後に、Linux Pluggable Authentication Modules（PAM）を使用して、RaspberryPiに対する2要素認証を有効にする必要があります。

まず、Nanoテキストエディタで「sshd」ファイルを開きます。

sudo nano /etc/pam.d/sshd

次の行を追加します：

auth required pam_google_authenticator.so

ただし、次の行を追加する場所は重要です。

1。パスワードを入力した後

Raspberry Piのパスワードを入力した後に1回限りの認証コードの入力を求められる場合は、@includeの後にこの行を追加します。 。

2。パスワードを入力する前に

パスワードを入力する前に1回限りの認証コードの入力を求められる場合は、@includeの前にこの行を追加してください 。

これらの変更を行ったら、 Ctrlを押してファイルを保存します + O 、続いて Ctrl + X 。

SSHデーモンを再起動します：

sudo systemctl restart ssh

これで、SSH経由で接続しようとするたびに、1回限りの確認コードの入力を求められます。

Raspberry Piで2要素認証を設定したので、パーソナルWebサーバーまたは音楽サーバーの設定に進むことができます。これらのトリックを使用して、SSHのセキュリティをさらに高めることもできます。