Comment configurer l’authentification à deux facteurs pour Raspberry Pi

SSH est l’un des moyens les plus populaires de contrôler votre Raspberry Pi depuis votre ordinateur portable ou PC. Ici, vous apprendrez à configurer l’authentification à deux facteurs pour votre accès SSH à Raspberry Pi et à y ajouter une couche de sécurité supplémentaire.

Noter: Si vous utilisez un fichier de clé SSH pour accéder à votre Raspberry Pi, l’authentification à deux facteurs ne sera pas utilisée.

Mettez à jour votre Pi

En supposant que vous ayez déjà configuré votre Raspberry Pi avec Raspberry Pi OS, il est préférable de vérifier d’abord que tous vos logiciels sont à jour. Ouvrez un terminal et tapez la commande suivante :

Activer SSH

Raspberry Pi OS a le serveur SSH désactivé par défaut. Avant de pouvoir vous connecter à votre Pi via SSH, vous devez l’activer en exécutant les commandes Terminal suivantes :

Vous pouvez maintenant vous connecter au serveur SSH.

Exiger une authentification d’identité, avec défi-réponse

En fin de compte, votre Raspberry Pi doit vous mettre au défi d’authentifier votre identité, puis de traiter votre réponse, ce qui signifie que vous devez activer les mots de passe de défi-réponse.

Pour commencer, ouvrez le fichier de configuration SSH pour le modifier en exécutant la commande Terminal suivante :

Dans ce fichier, trouvez le ChallengeResponseAuthentication section et remplacez-la de « non » par « oui ».

Trouvez le

Vous pouvez maintenant enregistrer le fichier « sshd_config » mis à jour en appuyant sur Ctrl + O, suivie par Ctrl + X.

De retour dans le Terminal, redémarrez le démon SSH avec votre nouvelle configuration :

Étant donné que des modifications ont été apportées à la configuration SSH, il est judicieux de vérifier que vous pouvez toujours vous connecter à votre Raspberry Pi via SSH.

Pour vous connecter au serveur SSH, vous aurez besoin de connaître l’adresse IP de votre Raspberry Pi. Si vous ne disposez pas déjà de ces informations, exécutez la commande suivante sur votre Pi :

Cela renverra l’adresse IP que vous devez utiliser.

Basculez sur votre ordinateur portable ou votre ordinateur, lancez un Terminal puis connectez-vous à votre Raspberry Pi, en veillant à remplacer « 10.3.000.0 » par votre adresse IP unique :

Vous êtes maintenant connecté en SSH.

Configuration de l’authentification à deux facteurs

Ensuite, téléchargez l’application Authenticator pour la génération du code d’authentification unique. Il existe différentes applications d’authentification sur le marché, mais j’utilise Google Authenticator pour ce tutoriel, qui est disponible pour les deux iOS et Android.

En relation :  Jouez à ce jeu de mots pour générer de nouvelles idées
Vous pouvez télécharger gratuitement l'application Google Authenticator depuis Google Play.

Une fois que vous aurez téléchargé cette application mobile, vous devrez également installer le module Google Authenticator PAM sur votre Raspberry Pi.

Sur votre Pi, ouvrez une fenêtre Terminal et exécutez la commande suivante :

Une fois que Google Authenticator est installé sur votre Raspberry Pi et votre appareil mobile, vous êtes prêt à configurer l’authentification à deux facteurs.

Créer une connexion : lier votre Pi à votre appareil mobile

Pour créer un lien entre votre application mobile et votre Raspberry Pi, générez un QR code sur votre Pi puis scannez ce code à l’aide de votre smartphone ou tablette.

Pour générer le code QR, revenez sur votre Raspberry Pi et exécutez la commande Terminal suivante :

Votre Raspberry Pi vous demandera si ses jetons d’authentification doivent être limités dans le temps. Comme il est plus sécurisé, vous souhaitez généralement générer des jetons d’authentification basés sur le temps, à moins que vous n’ayez une raison spécifique de ne pas le faire.

Il est recommandé d'utiliser Google Authenticator pour générer des jetons sensibles au temps.

Le terminal générera un code QR, mais vous devrez peut-être redimensionner le terminal pour voir le code-barres complet.

Il existe également une série de codes d’urgence. Si jamais vous perdez, égarez ou cassez votre appareil mobile, ces codes vous permettront d’accéder à votre Raspberry Pi via SSH, même sans votre appareil mobile. Ne risquez pas d’être bloqué hors de votre Raspberry Pi. Notez ces codes et conservez-les dans un endroit sûr.

Utilisez ce code QR pour connecter votre Raspberry Pi à l’application Google Authenticator :

1. Sur votre smartphone ou tablette, lancez l’application Google Authenticator.

2. Dans le coin inférieur droit, appuyez sur le signe « + ».

3. Sélectionnez « Scanner un code-barres QR ». Lorsque vous y êtes invité, autorisez l’application à accéder à la caméra de votre appareil.

4. Tenez la caméra de votre appareil devant votre moniteur et positionnez-la sur le code QR. Dès que votre smartphone ou tablette reconnaît le code QR, il crée un compte et commence à générer automatiquement des codes d’authentification.

5. Revenez à votre Raspberry Pi ; le Terminal vous proposera de mettre à jour votre fichier « google_authenticator ». appuie sur le Oui touche de votre clavier.

6. Il vous sera demandé si vous souhaitez empêcher plusieurs personnes d’utiliser le même jeton d’authentification. appuie sur le Oui touche de votre clavier.

7. Lorsqu’il vous est demandé si vous souhaitez augmenter la fenêtre de décalage horaire, appuyez sur N, car cela vous aidera à vous protéger contre les attaques par force brute.

En relation :  Comment rappeler un e-mail dans Gmail

8. Le terminal vous demandera maintenant d’activer la limitation du débit, ce qui vous limitera (ainsi que les pirates potentiels !) à trois tentatives de connexion toutes les 30 secondes. La limitation du débit peut vous aider à vous protéger contre la force brute et d’autres attaques basées sur des mots de passe, vous devez donc opter pour « Oui », sauf si vous avez une raison spécifique de ne pas le faire.

Modules d’authentification enfichables Linux

Enfin, vous devez activer l’authentification à deux facteurs sur votre Raspberry Pi à l’aide des modules d’authentification enfichables Linux (PAM).

Pour commencer, ouvrez le fichier « sshd » dans l’éditeur de texte Nano :

Ajoutez la ligne suivante :

Cependant, l’endroit où vous ajoutez la ligne suivante est important :

1. Après avoir entré votre mot de passe

Si vous souhaitez être invité à saisir un code d’authentification à usage unique après avoir saisi le mot de passe de votre Raspberry Pi, ajoutez cette ligne après @include.

Je souhaite être invité à saisir mon code d'authentification avant de saisir mon mot de passe.

2. Avant de saisir votre mot de passe

Si vous souhaitez être invité à saisir votre code d’authentification à usage unique avant de saisir votre mot de passe, ajoutez cette ligne avant @include.

Une fois ces modifications effectuées, enregistrez votre fichier en appuyant sur Ctrl + O, suivie par Ctrl + X.

Redémarrez le démon SSH :

Désormais, chaque fois que vous essayez de vous connecter via SSH, un code de vérification unique vous sera demandé.

Désormais, lorsque vous essayez de vous connecter à votre Raspberry Pi via SSH, vous serez invité à saisir un code de vérification.

Maintenant que vous avez configuré l’authentification à deux facteurs sur votre Raspberry Pi, vous pouvez procéder à la configuration de votre serveur Web personnel ou d’un serveur de musique. Vous pouvez également augmenter encore la sécurité de votre SSH avec ces astuces.

Moyens Staff
Moyens I/O Staff vous a motivé, donner des conseils sur la technologie, le développement personnel, le style de vie et des stratégies qui vous aider.