Raspberry Pi: Neue Raspbian-Images sollen Grundsicherheit erhöhen

5. Dezember 2016 Kategorie: Hardware, Linux, geschrieben von: Oliver Pifferi

Artikel_Raspberry_PiDie letzten Wochen und Monate waren für das „Internet of Things“ (IoT) nicht die schönsten, denn bei allen Möglichkeiten bekommen wir aktuell auch die Grenzen und Gefahren der kleinen, intelligenten Gerätschaften präsentiert. Ob das jetzt ein Botnetz aus schlecht geschützten Kameras ist oder ein „Angriff“ auf die Speedport-Router der Deutschen Telekom ist: De facto muss hier der ein oder andere Hersteller eine „Schüppe“ Standard-Sicherheit bei Auslieferung draufpacken, um zumindest das Sicherheitsrisiko so gering wie möglich zu halten. Für die Raspberry Pi Foundation ist das jetzt der Anlass, die System-Images der Debian-basierten Raspian-Distribution mit dem PIXEL-Desktop sicherer zu machen.

Mit dem Raspberry Pi und Raspbian war man von Anfang an schon standardisiert wie eben nur möglich unterwegs: Ein Standard-Benutzer mit einem Standard-Kennwort, welcher über den „sudo“-Befehl so ziemlich alles im System verwalten konnte. Auch die Remote-Verwaltung über das SSH-Protokoll war von Haus aus aktiviert: Nach der Grundinstallation wurde der Raspberry Pi ins Netz gehangen und aus der Ferne administriert, das hat vieles vereinfacht in Umgebungen, wo halt nicht permanent Monitor & Eingabegeräte an das kleine Board angeschlossen werden sollten.

Das man natürlich sowohl Standard-Benutzer als auch Kennwörter ebenso ändern wie überflüssige Dienste deaktivieren oder netzwerktechnisch einschränken sollte, ist meiner Meinung nach genauso logisch wie das Vermeiden unnötiger Portweiterleitungen durch die eigene Firewall in Richtung des Pi. Und genau an dieser Stelle setzt man an.

Ist man mit dem Raspberry Pi im privaten Netz unterwegs, mag alles gut sein. Reden wir hier aber von einem öffentlichen Netzwerk, sollte man natürlich wissen, was man macht. Nun gibt es in Sachen Sicherheit ja eine Schere zwischen Sicherheit und Komfort und die Leute bei der Raspberry Pi Foundation haben sich eigenen Angaben zufolge diesbezüglich Gedanken gemacht: In den aktuellen Raspbian-Images mit dem Pixel-Desktop ist der SSH-Fernzugriff nun von Haus aus deaktiviert. Aktiviert werden kann er – sofern Monitor & Co. dranhängen – über den gewohnten „raspi-config“-Befehl oder aber durch das Erstellen eines „ssh“-Ordners in der „/boot“-Partition des Dateisystems. Diese ist mit einem Kartenleser über Windows, Mac und Linux-Systeme beschreibbar – nach einem Neustart des Pi mit angelegtem Ordner aktiviert Raspbian dann SSH wieder und löscht diesen dann.

raspbian_config

Des Weiteren empfehlen die Entwickler, die bekannte Standard-Kombination aus dem Login „pi“ und dem Kennwort „raspberry“ unbedingt zu ändern, wenn man SSH auch nach aussen hin aktiviert haben möchte. Das Ganze versteht sich eigentlich von selbst, offenbar muss man aber dennoch das ein oder andere Mal häufiger darauf hinweisen. Das macht das System dann nach jedem Neustart entweder über die GUI oder die Shell: Habt Ihr SSH aktiviert und die Login-Daten eben nicht geändert, erinnert Euch Raspbian brav daran.

raspbian_ssh_warn

Wer das Kennwort des „pi“-Nutzers entsprechend ändern möchte, kann dies wie gewohnt durch die Eingabe von „passwd“ auf der Kommandozeile oder aber über die jeweilige Option in der Konfigurations-Applikation tun:

raspbian_change_pw

An dieser Stelle verweist man aber noch einmal ganz klar darauf, dass man aktuell keine Kenntnis von gehackten oder in Botnetzen zusammengepferchtenRaspberry Pi’s  hat und es auch aktuell keinen Grund zur Panik gibt. Man möchte hier einfach nur vorsorgen und hofft auch auf Verständnis der Community. Euer Raspbian-System auf Basis von Debian „Jessie“ könnt Ihr übrigens auch aktuell halten, in dem ihr die folgenden bekannten Befehle nutzt:

sudo apt-get update
sudo apt-get dist-upgrade
sudo apt-get install -y pprompt

Persönlich kann ich mit meinem Raspberry zuhause mit den Einschränkungen sehr gut leben, habe aber diesbezüglich aber auch ein wenig den Alu-Hut auf und all das, was ich eben nicht benötige, auch deaktiviert. Aber genau diese Annahme ist ja keine General-Absolution, da nun mal die IoT-fähigen Geräte aktuell im Fokus der „bösen Buben“ stehen und man auch nicht weiß, wie es morgen aussieht. Von daher: Werft einen Blick auf Eure Systeme und beherzigt den ein oder anderen Tipp hier für Eure Umgebung, sofern diese in irgendeiner Art und Weise mit der Welt da draußen kommuniziert. Schaden kann es nicht!


Über den Autor: Oliver Pifferi

Digital Native, der trotzdem gerne das Mittelalter erlebt hätte und chronischer Device-Switcher. Multimediafreak. England-Fan. Freier Autor & Tech Blogger. Hobbyphilosoph. Musik-Enthusiast. Querdenker. Zyniker. Hoffnungsvoller Idealist. Gladbacher Borusse und hauptberuflicher IT-Consultant. Auch zu finden bei Twitter, Google+, Facebook, Instagram und XING. PayPal-Kaffeespende an den Autor.

Oliver hat bereits 431 Artikel geschrieben.