SSH는 노트북이나 PC에서 Raspberry Pi를 제어하는 가장 인기 있는 방법 중 하나입니다. 여기에서 Raspberry Pi에 대한 SSH 액세스를 위한 2단계 인증을 설정하고 보안 계층을 추가하는 방법을 배우게 됩니다.
참고 :SSH 키 파일을 사용하여 라즈베리파이에 접속할 경우 이중 인증을 사용하지 않습니다.
Pi 업데이트
Raspberry Pi OS와 함께 Raspberry Pi를 이미 설정했다고 가정하면 먼저 모든 소프트웨어가 최신 상태인지 확인하는 것이 가장 좋습니다. 터미널을 열고 다음 명령을 입력하십시오.
sudo apt update && sudo apt -y upgrade
SSH 활성화
Raspberry Pi OS에는 기본적으로 SSH 서버가 비활성화되어 있습니다. SSH를 통해 Pi에 연결하기 전에 다음 터미널 명령을 실행하여 활성화해야 합니다.
sudo systemctl enable ssh sudo systemctl start ssh
이제 SSH 서버에 연결할 수 있습니다.
챌린지 응답으로 식별 인증 필요
궁극적으로 Raspberry Pi는 ID를 인증하도록 요청한 다음 응답을 처리해야 합니다. 즉, 질문-응답 암호를 활성화해야 합니다.
시작하려면 다음 터미널 명령을 실행하여 편집할 SSH 구성 파일을 엽니다.
sudo nano /etc/ssh/sshd_config
이 파일 내에서 ChallengeResponseAuthentication을 찾습니다. 섹션을 열고 "아니오"에서 "예"로 변경합니다.
이제 Ctrl 키를 눌러 업데이트된 "sshd_config" 파일을 저장할 수 있습니다. + O , Ctrl + X .
터미널로 돌아가서 새 구성으로 SSH 데몬을 다시 시작하십시오.
sudo systemctl restart ssh
SSH 구성이 변경되었으므로 SSH를 통해 Raspberry Pi에 계속 연결할 수 있는지 확인하는 것이 좋습니다.
SSH 서버에 연결하려면 Raspberry Pi의 IP 주소를 알아야 합니다. 이 정보가 아직 없으면 Pi에서 다음 명령을 실행하십시오.
hostname -I
그러면 사용해야 하는 IP 주소가 반환됩니다.
랩톱이나 컴퓨터로 전환하고 터미널을 실행한 다음 Raspberry Pi에 연결합니다. 이때 "10.3.000.0"을 고유한 IP 주소로 바꾸십시오.
ssh [email protected]
이제 SSH를 통해 연결되었습니다.
이중 인증 설정
다음으로 1회용 인증 코드 생성을 위한 Authenticator 애플리케이션을 다운로드합니다. 시중에 다양한 인증 앱이 있지만 이 튜토리얼에서는 iOS와 Android 모두에서 사용할 수 있는 Google Authenticator를 사용하고 있습니다.
이 모바일 애플리케이션을 다운로드했으면 Raspberry Pi에 Google Authenticator PAM 모듈도 설치해야 합니다.
Pi에서 터미널 창을 열고 다음 명령을 실행합니다.
sudo apt install libpam-google-authenticator
Google Authenticator가 Raspberry Pi와 모바일 기기에 모두 설치되면 이중 인증을 설정할 준비가 된 것입니다.
연결 만들기:Pi를 모바일 장치에 연결
모바일 애플리케이션과 Raspberry Pi 간의 링크를 생성하려면 Pi에서 QR 코드를 생성한 다음 스마트폰이나 태블릿을 사용하여 이 코드를 스캔하세요.
QR 코드를 생성하려면 Raspberry Pi로 다시 전환하고 다음 터미널 명령을 실행하십시오.
google-authenticator
Raspberry Pi는 인증 토큰에 시간 제한이 있는지 여부를 묻습니다. 더 안전하기 때문에 특별한 이유가 없는 한 일반적으로 시간 기반 인증 토큰을 생성하려고 합니다.
전체 바코드를 보려면 터미널 크기를 조정해야 할 수 있지만 터미널은 QR 코드를 생성합니다.
일련의 비상 코드도 있습니다. 모바일 장치를 분실, 분실 또는 파손한 경우 이 코드를 사용하면 모바일 장치 없이도 SSH를 통해 Raspberry Pi에 액세스할 수 있습니다. Raspberry Pi에서 잠길 위험을 감수하지 마십시오. 이 코드를 기록해 두고 안전한 곳에 보관하십시오.
다음 QR 코드를 사용하여 Raspberry Pi를 Google Authenticator 앱에 연결하십시오.
1. 스마트폰이나 태블릿에서 Google OTP 앱을 실행합니다.
2. 오른쪽 하단에서 "+" 기호를 탭합니다.
3. "QR 바코드 스캔"을 선택합니다. 메시지가 표시되면 앱에 기기의 카메라에 액세스할 수 있는 권한을 부여합니다.
4. 장치의 카메라를 모니터에 대고 QR 코드 위에 놓습니다. 스마트폰이나 태블릿은 QR 코드를 인식하는 즉시 계정을 만들고 자동으로 인증 코드를 생성하기 시작합니다.
5. Raspberry Pi로 다시 전환합니다. 터미널은 "google_authenticator" 파일을 업데이트하라는 메시지를 표시합니다. Y를 누릅니다. 키보드의 키를 누릅니다.
6. 여러 사람이 동일한 인증 토큰을 사용하는 것을 방지할 것인지 묻는 메시지가 표시됩니다. Y를 누릅니다. 키보드의 키를 누릅니다.
7. 시간 스큐 창을 늘릴 것인지 묻는 메시지가 표시되면 N 키를 누릅니다. , 무차별 대입 공격으로부터 사용자를 보호하는 데 도움이 됩니다.
8. 이제 터미널에서 속도 제한을 활성화하도록 요청합니다. 그러면 사용자(및 잠재적 해커!)가 30초마다 3번의 로그인 시도로 제한됩니다. 속도 제한은 무차별 대입 공격 및 기타 암호 기반 공격으로부터 사용자를 보호하는 데 도움이 될 수 있으므로 특별한 이유가 없는 한 "예"를 선택해야 합니다.
Linux 플러그인 가능 인증 모듈
마지막으로 Linux PAM(Pluggable Authentication Modules)을 사용하여 Raspberry Pi에 대한 2단계 인증을 활성화해야 합니다.
시작하려면 Nano 텍스트 편집기에서 "sshd" 파일을 엽니다.
sudo nano /etc/pam.d/sshd
다음 행을 추가하십시오.
auth required pam_google_authenticator.so
그러나 다음 행을 추가하는 위치는 중요합니다.
1. 비밀번호 입력 후
Raspberry Pi의 비밀번호를 입력한 후 일회성 인증 코드를 입력하라는 메시지를 표시하려면 @include 뒤에 이 줄을 추가하세요. .
2. 비밀번호를 입력하기 전에
비밀번호를 입력하기 전에 일회성 인증 코드를 입력하라는 메시지를 표시하려면 @include 앞에 이 줄을 추가하세요. .
이러한 변경을 수행했으면 Ctrl 키를 눌러 파일을 저장하십시오. + O , 다음에 Ctrl + X .
SSH 데몬 다시 시작:
sudo systemctl restart ssh
이제 SSH를 통해 연결을 시도할 때마다 일회성 인증 코드를 입력하라는 메시지가 표시됩니다.
이제 Raspberry Pi에서 2단계 인증을 설정했으므로 개인 웹 서버 또는 음악 서버 설정을 진행할 수 있습니다. 이러한 트릭을 사용하여 SSH 보안을 더욱 강화할 수도 있습니다.