树莓皮现在到处都是，这就是为什么它吸引了威胁行为者和网络罪犯的目光。我们将向您展示如何使用双因素身份验证保护Pi。

神奇的树莓皮

树莓皮是单板计算机。它于2012在英国推出，目的是让孩子们修补、创建和学习代码。最初的外形是一块信用卡大小的电路板，由**充电器供电。

它提供HDMI输出、USB端口、网络连接，并运行Linux。后来增加到生产线包括更小的版本，旨在纳入产品或运行作为无头系统。价格范围从5美元的简约派皮零，以75美元的皮4b/8gb。

它的成功是令人难以置信的；超过3000万台这种微型计算机已经销往世界各地。爱好者们用它们做了令人惊奇和鼓舞人心的事情，包括把一个漂浮到太空边缘，再放回气球上。

唉，一旦一个计算平台变得足够广泛，它就不可避免地引起网络犯罪分子的注意。想想有多少Pi在使用默认的用户帐户和密码是很可怕的。如果Pi是面向公众的，并且可以通过secureshell（SSH）从internet访问，那么它必须是安全的。

即使你的Pi上没有任何有价值的数据或软件，你也需要保护它，因为你的Pi不是真正的目标，它只是进入你的网络的一种方式。一旦威胁参与者在网络中站稳脚跟，他就会转向他真正感兴趣的其他设备。

双因素认证

验证或访问系统需要一个或多个因素。因素分类如下：

• 你知道的东西：比如密码或短语。
• 你有的东西：比如**、物理令牌或加密狗。
• 你是什么样的人：一个生物识别读数，比如指纹或视网膜扫描。

多因素身份验证（MFA）需要密码和其他类别中的一个或多个项。例如，我们将使用密码和**。**将运行一个Google认证器应用程序，Pi将运行一个Google认证模块。

**应用程序通过扫描二维码链接到Pi。这会将一些种子信息从Pi传递到您的**，确保它们的号码生成算法同时生成相同的代码。这些代码被称为基于时间的一次性密码（TOTP）。

当它接收到一个连接请求时，Pi生成一个代码。您使用**上的验证器应用程序查看当前代码，然后Pi会询问您的密码和验证代码。在允许连接之前，您的密码和TOTP必须正确。

配置pi

如果您通常使用SSH连接到Pi上，那么它很可能是一个无头系统，因此我们将通过SSH连接配置它。

建立两个SSH连接最安全：一个用于配置和测试，另一个用作安全网。这样，如果将自己锁定在Pi之外，第二个活动SSH连接仍然处于活动状态。更改SSH设置不会影响正在进行的连接，因此可以使用第二个设置来反转任何更改并纠正这种情况。

如果最坏的情况发生了，并且您通过SSH被完全锁定，您仍然可以将Pi连接到监视器、键盘和鼠标，然后登录到常规会话。也就是说，你仍然可以登录，只要你的Pi可以驱动显示器。但是，如果不能，您确实需要保持安全网SSH连接处于打开状态，直到您验证了双因素身份验证正在工作。

当然，最终的制裁措施是将操作系统刷新到Pi的micro-SD卡上，但让我们尽量避免这种情况。

首先，我们需要建立到Pi的两个连接。两个命令都采用以下形式：

这个Pi的名称是“看门狗”，但是您将键入您的名称。如果您更改了默认用户名，也可以使用它；我们的用户名是“pi”

请记住，为了安全起见，请在不同的终端窗口中键入此命令两次，以便您有两个到Pi的连接。然后，最小化其中一个，这样它就不会碍事，也不会被意外关闭。

连接后，您将看到问候语。提示符将显示用户名（在本例中为“pi”）和pi的名称（在本例中为“看门狗”）。

您需要编辑“sshd\u config”文件。我们将在nano文本编辑器中执行此操作：

滚动文件直到看到以下行：

将“否”替换为“是”

按Ctrl+O将更改保存在nano中，然后按Ctrl+X关闭文件。使用以下命令重新启动SSH守护程序：

您需要安装googleauthenticator，它是一个可**的身份验证模块（PAM）库。应用程序（SSH）将调用Linux PAM接口，该接口将找到相应的PAM模块来为所请求的身份验证类型提供服务。

键入以下内容：

安装应用程序

googleauthenticator应用程序可用于iPhone和Android，因此只需为您的**安装相应的版本即可。您还可以使用Authy和其他支持此类验证代码的应用程序。

配置双因素身份验证

在通过SSH连接到Pi时要使用的帐户中，运行以下命令（不要包含sudo前缀）：

将询问您是否希望身份验证令牌基于时间；按Y，然后按Enter。

生成了一个快速响应（QR）码，但它被置乱了，因为它比80列终端窗口宽。将窗口拖得更宽以查看代码。

在二维码下面你还会看到一些安全码。这些文件被写入一个名为“.google\u authenticator”的文件中，但您现在可能想复制它们。如果您失去了获取TOTP的能力（例如，如果您丢失了**），您可以使用这些代码进行身份验证。

你必须回答四个问题，第一个是：

按Y键，然后按Enter键。

下一个问题是，是否要防止在30秒的窗口内多次使用同一代码。

按Y键，然后按Enter键。

第三个问题是，您是否希望扩大TOTP代币的接受窗口。

按N键回答此问题，然后按Enter键。

最后一个问题是：“是否要启用速率限制？”

键入Y，然后按回车键。

您将返回到命令提示符。如有必要，将终端窗口拖得更宽和/或在终端窗口中向上滚动，以便可以看到整个二维码。

在**上打开authenticator应用程序，然后按屏幕右下角的加号（+）。选择“扫描二维码”，然后在终端窗口中扫描二维码。

一个新的条目将出现在以Pi的主机名命名的authenticator应用程序中，并且一个六位数的TOTP代码将列在它下面。它显示为两组三位数字以便于阅读，但您必须键入一个六位数字。

代码旁边的动画圆圈表示代码有效的时间：一个完整的圆圈表示30秒，一个半圆表示15秒，依此类推。

把它们联系起来

我们还有一个文件要编辑。我们必须告诉SSH要使用哪个PAM身份验证模块：

在文件顶部附近键入以下行：

您还可以选择何时需要TOTP：

• 输入密码后：在“@include common auth”下面键入前几行，如上图所示。
• 在要求您输入密码之前：请键入“@include common auth”上面的前几行

注意“pam\u google”中使用的下划线_验证器.so，”而不是前面我们在apt get命令中使用的连字符（-）来安装模块。

按Ctrl+O将更改写入文件，然后按Ctrl+X关闭编辑器。我们需要最后一次重新启动SSH，然后我们就完成了：

关闭此SSH连接，但在验证下一步之前，请保持另一个安全网SSH连接运行。

确保**上的authenticator应用已打开并准备就绪，然后打开到Pi的新SSH连接：

你应该被要求输入密码，然后输入密码。从你的**输入密码，数字之间不要有空格。就像你的密码一样，它不会在屏幕上显示。

如果一切都按计划进行，应该允许您连接到Pi；如果没有，请使用您的安全网SSH连接来检查前面的步骤。

总比后悔安全

你注意到上面“safe”中的“r”了吗？

事实上，现在连接到树莓圆周率时比以前更安全，但没有什么是百分之百安全的。有一些方法可以绕过双因素身份验证。这些技术依赖于社会工程、中间人攻击和端点人攻击、SIM卡交换以及其他高级技术，很显然，我们将不在这里描述这些技术。

那么，如果这一切都不完美，为什么还要费心呢？好吧，同样的原因，当你离开的时候你会锁上你的前门，即使有人会撬锁，但大多数人不会。