SSH es una de las formas más populares de controlar su Raspberry Pi desde su computadora portátil o PC. Aquí aprenderá cómo configurar la autenticación de dos factores para su acceso SSH a Raspberry Pi y agregarle una capa adicional de seguridad.
Nota: Si utiliza el archivo de clave SSH para acceder a su Raspberry Pi, no se utilizará la autenticación de dos factores.
Actualiza tu Pi
Suponiendo que ya configuró su Raspberry Pi con el sistema operativo Raspberry Pi, es mejor verificar primero que todo su software esté actualizado. Abra una terminal y escriba el siguiente comando:
sudo apt update && sudo apt -y upgrade
Habilitar SSH
Raspberry Pi OS tiene el servidor SSH desactivado de forma predeterminada. Antes de que pueda conectarse a su Pi a través de SSH, debe habilitarlo ejecutando los siguientes comandos de terminal:
sudo systemctl enable ssh sudo systemctl start ssh
Ahora puede conectarse al servidor SSH.
Requerir autenticación de identificación, con respuestas de desafío
En última instancia, su Raspberry Pi debe desafiarlo a autenticar su identidad y luego procesar su respuesta, lo que significa que debe habilitar la contraseña de respuesta de desafío.
Para comenzar, abra el archivo de configuración de SSH para editarlo ejecutando el siguiente comando de terminal:
sudo nano /etc/ssh/sshd_config
En este archivo encontrará ChallengeResponseAuthentication y cámbielo de “no” a “sí”.
Ahora puede guardar el archivo “sshd_config” actualizado presionando Ctrl + O, seguido de Ctrl + X.
De vuelta en la terminal, reinicie el demonio SSH con su nueva configuración:
sudo systemctl restart ssh
Dado que se han realizado cambios en la configuración de SSH, es una buena idea verificar que aún puede conectarse a su Raspberry Pi a través de SSH.
Para conectarse al servidor SSH, debe conocer la dirección IP de su Raspberry Pi. Si aún no tiene esta información, ejecute el siguiente comando en su Pi:
hostname -I
Esto devolverá la dirección IP que necesita usar.
Cambie a su computadora portátil o computadora, inicie una terminal y luego conéctese a su Raspberry Pi, asegúrese de reemplazar “10.3.000.0” con su dirección IP única:
ssh [email protected]
Ahora está conectado a través de SSH.
Configurar la autenticación de dos factores
Luego descargue la aplicación Authenticator para generar el código de autenticación único. Hay varias aplicaciones de autenticación en el mercado, pero utilizo Google Authenticator para este tutorial, que está disponible tanto para iOS como para Android.
Después de descargar esta aplicación móvil, también deberá instalar Google Authenticator PAM en su Raspberry Pi.
.u91b4a55d79ee2727458911e2d4e0f9cc, .u91b4a55d79ee2727458911e2d4e0f9cc .postImageUrl, .u91b4a55d79ee2727458911e2d4e0f9cc .centered-text-area {min-height: 80p; posición: relativa; } .u91b4a55d79ee2727458911e2d4e0f9cc, .u91b4a55d79ee2727458911e2d4e0f9cc: hover, .u91b4a55d79ee2727458911e2d4e0f9cc: visitado, .u91b4a55d79ee274 } .u91b4a55d79ee2727458911e2d4e0f9cc .clearfix: después de {contenido: “”; pantalla: mesa; Limpia los dos; } .u91b4a55d79ee2727458911e2d4e0f9cc {pantalla: bloque; transición: color de fondo 250ms; transición de webkit: color de fondo 250ms; ancho: 100%; opacidad: 0,95; transición: opacidad 250ms; webkit-transition: opacidad 250ms; color de fondo: # 9B59B6; sombra de caja: 0 1px 2px rgba (0, 0, 0, 0.17); -moz-box-shadow: 0 1px 2px rgba (0, 0, 0, 0.17); -o-caja-sombra: 0 1px 2px rgba (0, 0, 0, 0.17); -webkit-caja-sombra: 0 1px 2px rgba (0, 0, 0, 0.17); } .u91b4a55d79ee2727458911e2d4e0f9cc: activo, .u91b4a55d79ee2727458911e2d4e0f9cc: hover {opacidad: 1; transición: opacidad 250ms; webkit-transition: opacidad 250ms; color de fondo: # 8E44AD; } .u91b4a55d79ee2727458911e2d4e0f9cc .centered-text-area {ancho: 100%; posición: relativa; } .u91b4a55d79ee2727458911e2d4e0f9cc .ctaText {borde inferior: 0 sólido #fff; color: #FFFFFF; tamaño de fuente: 16px; fuente-peso: negrita; margen: 0; relleno: 0; decoración de texto: subrayado; } .u91b4a55d79ee2727458911e2d4e0f9cc .postTitle {color: #FFFFFF; tamaño de fuente: 16px; peso de fuente: 600; margen: 0; relleno: 0; ancho: 100%; } .u91b4a55d79ee2727458911e2d4e0f9cc .ctaButton {color de fondo: #8E44AD!importante; color: #FFFFFF; borde: ninguno; borde-radio: 3px; sombra de caja: ninguna; tamaño de fuente: 14px; fuente-peso: negrita; altura de línea: 26px; moz-border-radio: 3px; alineación de texto: centro; texto-decoración: ninguno; sombra de texto: ninguno; ancho: 80px; altura mínima: 80px; fondo: url (https://se.moyens.net/wp-content/plugins/intelly-related-posts/assets/images/simple-arrow.png) sin repetición; posición: absoluta; derecha: 0; superior: 0; } .u91b4a55d79ee2727458911e2d4e0f9cc: hover .ctaButton {color de fondo: # 9B59B6! importante; } .u91b4a55d79ee2727458911e2d4e0f9cc .centered-text {pantalla: tabla; altura: 80px; relleno-izquierda: 18px; superior: 0; } .u91b4a55d79ee2727458911e2d4e0f9cc .u91b4a55d79ee2727458911e2d4e0f9cc-content {display: table-cell; margen: 0; relleno: 0; relleno derecho: 108px; posición: relativa; alineación vertical: medio; ancho: 100%; } .u91b4a55d79ee2727458911e2d4e0f9cc: después de {contenido: “”; bloqueo de pantalla; Limpia los dos; }
Abra una ventana de terminal en su Pi y ejecute el siguiente comando:
sudo apt install libpam-google-authenticator
Una vez que Google Authenticator esté instalado tanto en su Raspberry Pi como en su dispositivo móvil, estará listo para configurar la autenticación de dos factores.
Crea una conexión: vincula tu Pi a tu dispositivo móvil
Para crear un enlace entre su aplicación móvil y su Raspberry Pi, genere un código QR en su Pi y luego escanee este código con su teléfono inteligente o tableta.
Para generar el código QR, vuelva a su Raspberry Pi y ejecute el siguiente comando de terminal:
google-authenticator
Su Raspberry Pi le preguntará si su token de autenticación debe tener un límite de tiempo. Debido a que es más seguro, generalmente desea generar tokens de autenticación basados en el tiempo a menos que tenga una razón específica para no hacerlo.
El terminal genera un código QR, aunque es posible que deba cambiar el tamaño del terminal para ver el código de barras completo.
También hay una serie de códigos de emergencia. Si alguna vez pierde, pierde o rompe su dispositivo móvil, estos códigos le permitirán acceder a su Raspberry Pi a través de SSH, incluso sin su dispositivo móvil. No se arriesgue a quedarse fuera de su Raspberry Pi. Tome nota de estos códigos y guárdelos en un lugar seguro.
Use este código QR para conectar su Raspberry Pi a la aplicación Google Authenticator:
Inicie la aplicación Google Authenticator en su teléfono inteligente o tableta.
2. En la esquina inferior derecha, presione el signo “+”.
3. Seleccione “Escanear un código de barras QR”. Cuando se le solicite, dé permiso a la aplicación para acceder a la cámara del dispositivo.
4. Sostenga la cámara del dispositivo contra su monitor y colóquela sobre el código QR. Tan pronto como su teléfono inteligente o tableta reconozca el código QR, creará una cuenta y comenzará a generar códigos de autenticación automáticamente.
5. Vuelva a su Raspberry Pi; El terminal le pedirá que actualice su archivo google_authenticator. presione la tecla Y en su teclado.
6. Se le preguntará si desea evitar que varias personas utilicen el mismo token de autenticación. presione la tecla Y en su teclado.
7. Cuando se le pregunte si desea aumentar la ventana de distorsión temporal, presione N, ya que esto lo protegerá contra ataques de fuerza bruta.
El terminal ahora le pedirá que habilite el límite de velocidad, lo que lo limitará a usted (¡y a los posibles piratas informáticos!) a tres intentos de inicio de sesión cada 30 segundos. Los límites de velocidad pueden ayudarlo a protegerse de la fuerza bruta y otros ataques basados en contraseñas, por lo que debe seleccionar “Sí” a menos que tenga una razón específica para no hacerlo.
Módulos de autenticación conectables de Linux
Finalmente, debe habilitar la autenticación de dos factores para su Raspberry Pi utilizando los Módulos de autenticación conectables (PAM) de Linux.
.uae666ddb9fafadfaa4f10b424e845387, .uae666ddb9fafadfaa4f10b424e845387 .postImageUrl, .uae666ddb9fafadfaa4f10b424e845387 .centered-text-area {min-height: 80p; posición: relativa; } .uae666ddb9fafadfaa4f10b424e845387, .uae666ddb9fafadfaa4f10b424e845387: pasar el cursor, .uae666ddb9fafadfaa4f10b424e845387: visitado, .uae666ddb9fafad24a45f107; } .uae666ddb9fafadfaa4f10b424e845387 .clearfix: después de {contenido: “”; pantalla: mesa; Limpia los dos; } .uae666ddb9fafadfaa4f10b424e845387 {pantalla: bloque; transición: color de fondo 250ms; transición de webkit: color de fondo 250ms; ancho: 100%; opacidad: 0,95; transición: opacidad 250ms; webkit-transition: opacidad 250ms; color de fondo: # 9B59B6; sombra de caja: 0 1px 2px rgba (0, 0, 0, 0.17); -moz-box-shadow: 0 1px 2px rgba (0, 0, 0, 0.17); -o-caja-sombra: 0 1px 2px rgba (0, 0, 0, 0.17); -webkit-caja-sombra: 0 1px 2px rgba (0, 0, 0, 0.17); } .uae666ddb9fafadfaa4f10b424e845387: activo, .uae666ddb9fafadfaa4f10b424e845387: hover {opacidad: 1; transición: opacidad 250ms; webkit-transition: opacidad 250ms; color de fondo: # 8E44AD; } .uae666ddb9fafadfaa4f10b424e845387 .centered-text-area {ancho: 100%; posición: relativa; } .uae666ddb9fafadfaa4f10b424e845387 .ctaText {borde inferior: 0 sólido #fff; color: #FFFFFF; tamaño de fuente: 16px; fuente-peso: negrita; margen: 0; relleno: 0; decoración de texto: subrayado; } .uae666ddb9fafadfaa4f10b424e845387 .postTitle {color: #FFFFFF; tamaño de fuente: 16px; peso de fuente: 600; margen: 0; relleno: 0; ancho: 100%; } .uae666ddb9fafadfaa4f10b424e845387 .ctaButton {color de fondo: # 8E44AD! importante; color: #FFFFFF; borde: ninguno; borde-radio: 3px; sombra de caja: ninguna; tamaño de fuente: 14px; fuente-peso: negrita; altura de línea: 26px; moz-border-radio: 3px; alineación de texto: centro; texto-decoración: ninguno; sombra de texto: ninguno; ancho: 80px; altura mínima: 80px; fondo: url (https://se.moyens.net/wp-content/plugins/intelly-related-posts/assets/images/simple-arrow.png) sin repetición; posición: absoluta; derecha: 0; superior: 0; } .uae666ddb9fafadfaa4f10b424e845387: hover .ctaButton {color de fondo: # 9B59B6! importante; } .uae666ddb9fafadfaa4f10b424e845387 .centered-text {pantalla: tabla; altura: 80px; relleno-izquierda: 18px; superior: 0; } .uae666ddb9fafadfaa4f10b424e845387 .uae666ddb9fafadfaa4f10b424e845387-content {display: table-cell; margen: 0; relleno: 0; relleno derecho: 108px; posición: relativa; alineación vertical: medio; ancho: 100%; } .uae666ddb9fafadfaa4f10b424e845387: después de {contenido: “”; bloqueo de pantalla; Limpia los dos; }
Para comenzar, abra el archivo “sshd” en el Editor de texto Nano:
sudo nano /etc/pam.d/sshd
Agregue la siguiente línea:
auth required pam_google_authenticator.so
Pero donde agregas la siguiente línea importa:
1. Después de ingresar su contraseña
Si desea que se le solicite un código de autenticación único después de ingresar su contraseña de Raspberry Pi, agregue esta línea después de @include.
2. Antes de ingresar su contraseña
Si desea que se le solicite su código de autenticación único antes de ingresar su contraseña, agregue esta línea antes de @include.
Después de realizar estos cambios, guarde el archivo presionando Ctrl + O, seguido de Ctrl + X.
Reinicie el demonio SSH:
sudo systemctl restart ssh
Ahora, cada vez que intente conectarse a través de SSH, se le pedirá que ingrese un código de verificación único.
Ahora que ha configurado la autenticación de dos factores en su Raspberry Pi, puede continuar configurando su servidor web personal o un servidor de música. También puedes aumentar aún más la seguridad de tu SSH con estos trucos.
Nunca olvides
Recibe actualizaciones sobre nuestros últimos tutoriales.
Regístrese para recibir todos los boletines.
Me gustaría recibir boletines por correo electrónico. No compartiremos su información y puede cancelar su suscripción en cualquier momento.
Suscribir
