SSH est l’un des moyens les plus populaires de contrôler votre Raspberry Pi depuis votre ordinateur portable ou PC. Ici, vous apprendrez comment configurer l’authentification à deux facteurs pour votre accès SSH à Raspberry Pi et y ajouter une couche de sécurité supplémentaire.
Noter: Si vous utilisez un fichier de clé SSH pour accéder à votre Raspberry Pi, l’authentification à deux facteurs ne sera pas utilisée.
Contenu
Mettez à jour votre Pi
En supposant que vous ayez déjà configuré votre Raspberry Pi avec Raspberry Pi OS, il est préférable de vérifier d’abord que tous vos logiciels sont à jour. Ouvrez un terminal et tapez la commande suivante :
Activer SSH
Raspberry Pi OS a le serveur SSH désactivé par défaut. Avant de pouvoir vous connecter à votre Pi via SSH, vous devez l’activer en exécutant les commandes Terminal suivantes :
Vous pouvez maintenant vous connecter au serveur SSH.
Exiger l’authentification d’identité, avec défi-réponse
En fin de compte, votre Raspberry Pi doit vous mettre au défi d’authentifier votre identité, puis de traiter votre réponse, ce qui signifie que vous devez activer les mots de passe de défi-réponse.
Pour commencer, ouvrez le fichier de configuration SSH pour le modifier en exécutant la commande Terminal suivante :
Dans ce fichier, recherchez la section ChallengeResponseAuthentication et remplacez-la de « non » par « oui ».
Vous pouvez maintenant enregistrer le fichier « sshd_config » mis à jour en appuyant sur Ctrl + O, suivi de Ctrl + X.
De retour dans le Terminal, redémarrez le démon SSH avec votre nouvelle configuration :
Étant donné que des modifications ont été apportées à la configuration SSH, il est judicieux de vérifier que vous pouvez toujours vous connecter à votre Raspberry Pi via SSH.
Pour vous connecter au serveur SSH, vous aurez besoin de connaître l’adresse IP de votre Raspberry Pi. Si vous ne disposez pas déjà de ces informations, exécutez la commande suivante sur votre Pi :
Cela renverra l’adresse IP que vous devez utiliser.
Basculez sur votre ordinateur portable ou ordinateur, lancez un Terminal puis connectez-vous à votre Raspberry Pi, en veillant à remplacer « 10.3.000.0 » par votre adresse IP unique :
Vous êtes maintenant connecté en SSH.
Configuration de l’authentification à deux facteurs
Ensuite, téléchargez l’application Authenticator pour la génération du code d’authentification unique. Il existe diverses applications d’authentification sur le marché, mais j’utilise Google Authenticator pour ce didacticiel, qui est disponible pour iOS et Android.
Une fois que vous aurez téléchargé cette application mobile, vous devrez également installer le module Google Authenticator PAM sur votre Raspberry Pi.
Sur votre Pi, ouvrez une fenêtre Terminal et exécutez la commande suivante :
Une fois que Google Authenticator est installé sur votre Raspberry Pi et votre appareil mobile, vous êtes prêt à configurer l’authentification à deux facteurs.
Créer une connexion : lier votre Pi à votre appareil mobile
Pour créer un lien entre votre application mobile et votre Raspberry Pi, générez un QR code sur votre Pi puis scannez ce code à l’aide de votre smartphone ou tablette.
Pour générer le code QR, revenez sur votre Raspberry Pi et exécutez la commande Terminal suivante :
Votre Raspberry Pi vous demandera si ses jetons d’authentification doivent être limités dans le temps. Comme il est plus sécurisé, vous souhaitez généralement générer des jetons d’authentification basés sur le temps, à moins que vous n’ayez une raison spécifique de ne pas le faire.
Le terminal générera un code QR, mais vous devrez peut-être redimensionner le terminal pour voir le code-barres complet.
Il existe également une série de codes d’urgence. Si jamais vous perdez, égarez ou cassez votre appareil mobile, ces codes vous permettront d’accéder à votre Raspberry Pi via SSH, même sans votre appareil mobile. Ne risquez pas d’être bloqué hors de votre Raspberry Pi. Notez ces codes et conservez-les dans un endroit sûr.
Utilisez ce code QR pour connecter votre Raspberry Pi à l’application Google Authenticator :
1. Sur votre smartphone ou tablette, lancez l’application Google Authenticator.
2. Dans le coin inférieur droit, appuyez sur le signe « + ».
3. Sélectionnez « Scanner un code-barres QR ». Lorsque vous y êtes invité, autorisez l’application à accéder à la caméra de votre appareil.
4. Tenez la caméra de votre appareil près de votre moniteur et positionnez-la sur le code QR. Dès que votre smartphone ou tablette reconnaît le code QR, il crée un compte et commence à générer automatiquement des codes d’authentification.
5. Revenez à votre Raspberry Pi ; le Terminal vous proposera de mettre à jour votre fichier « google_authenticator ». Appuyez sur la touche Y de votre clavier.
6. Il vous sera demandé si vous souhaitez empêcher plusieurs personnes d’utiliser le même jeton d’authentification. Appuyez sur la touche Y de votre clavier.
7. Lorsqu’on vous demande si vous souhaitez augmenter la fenêtre de décalage dans le temps, appuyez sur N, car cela vous aidera à vous protéger contre les attaques par force brute.
8. Le terminal vous demandera maintenant d’activer la limitation du débit, ce qui vous limitera (ainsi que les pirates potentiels !) à trois tentatives de connexion toutes les 30 secondes. La limitation du débit peut vous aider à vous protéger contre la force brute et d’autres attaques basées sur des mots de passe, vous devez donc opter pour « Oui » à moins que vous n’ayez une raison spécifique de ne pas le faire.
Modules d’authentification enfichables Linux
Enfin, vous devez activer l’authentification à deux facteurs sur votre Raspberry Pi à l’aide des modules d’authentification enfichables Linux (PAM).
Pour commencer, ouvrez le fichier « sshd » dans l’éditeur de texte Nano :
Ajoutez la ligne suivante :
Cependant, l’endroit où vous ajoutez la ligne suivante est important :
1. Après avoir entré votre mot de passe
Si vous souhaitez être invité à saisir un code d’authentification à usage unique après avoir entré le mot de passe de votre Raspberry Pi, ajoutez cette ligne après @include.
2. Avant de saisir votre mot de passe
Si vous souhaitez être invité à saisir votre code d’authentification à usage unique avant de saisir votre mot de passe, ajoutez cette ligne avant @include.
Une fois que vous avez effectué ces modifications, enregistrez votre fichier en appuyant sur Ctrl + O, suivi de Ctrl + X.
Redémarrez le démon SSH :
Désormais, chaque fois que vous essayez de vous connecter via SSH, un code de vérification unique vous sera demandé.
Maintenant que vous avez configuré l’authentification à deux facteurs sur votre Raspberry Pi, vous pouvez procéder à la configuration de votre serveur Web personnel ou d’un serveur de musique. Vous pouvez également augmenter davantage la sécurité de votre SSH avec ces astuces.
Cet article est-il utile ? Oui Non
