Raspberry Pi: Neue Raspbian-Images sollen Grundsicherheit erhöhen
Die letzten Wochen und Monate waren für das „Internet of Things“ (IoT) nicht die schönsten, denn bei allen Möglichkeiten bekommen wir aktuell auch die Grenzen und Gefahren der kleinen, intelligenten Gerätschaften präsentiert. Ob das jetzt ein Botnetz aus schlecht geschützten Kameras ist oder ein „Angriff“ auf die Speedport-Router der Deutschen Telekom ist: De facto muss hier der ein oder andere Hersteller eine „Schüppe“ Standard-Sicherheit bei Auslieferung draufpacken, um zumindest das Sicherheitsrisiko so gering wie möglich zu halten. Für die Raspberry Pi Foundation ist das jetzt der Anlass, die System-Images der Debian-basierten Raspian-Distribution mit dem PIXEL-Desktop sicherer zu machen.
Mit dem Raspberry Pi und Raspbian war man von Anfang an schon standardisiert wie eben nur möglich unterwegs: Ein Standard-Benutzer mit einem Standard-Kennwort, welcher über den „sudo“-Befehl so ziemlich alles im System verwalten konnte. Auch die Remote-Verwaltung über das SSH-Protokoll war von Haus aus aktiviert: Nach der Grundinstallation wurde der Raspberry Pi ins Netz gehangen und aus der Ferne administriert, das hat vieles vereinfacht in Umgebungen, wo halt nicht permanent Monitor & Eingabegeräte an das kleine Board angeschlossen werden sollten.
Das man natürlich sowohl Standard-Benutzer als auch Kennwörter ebenso ändern wie überflüssige Dienste deaktivieren oder netzwerktechnisch einschränken sollte, ist meiner Meinung nach genauso logisch wie das Vermeiden unnötiger Portweiterleitungen durch die eigene Firewall in Richtung des Pi. Und genau an dieser Stelle setzt man an.
Ist man mit dem Raspberry Pi im privaten Netz unterwegs, mag alles gut sein. Reden wir hier aber von einem öffentlichen Netzwerk, sollte man natürlich wissen, was man macht. Nun gibt es in Sachen Sicherheit ja eine Schere zwischen Sicherheit und Komfort und die Leute bei der Raspberry Pi Foundation haben sich eigenen Angaben zufolge diesbezüglich Gedanken gemacht: In den aktuellen Raspbian-Images mit dem Pixel-Desktop ist der SSH-Fernzugriff nun von Haus aus deaktiviert. Aktiviert werden kann er – sofern Monitor & Co. dranhängen – über den gewohnten „raspi-config“-Befehl oder aber durch das Erstellen eines „ssh“-Ordners in der „/boot“-Partition des Dateisystems. Diese ist mit einem Kartenleser über Windows, Mac und Linux-Systeme beschreibbar – nach einem Neustart des Pi mit angelegtem Ordner aktiviert Raspbian dann SSH wieder und löscht diesen dann.
Des Weiteren empfehlen die Entwickler, die bekannte Standard-Kombination aus dem Login „pi“ und dem Kennwort „raspberry“ unbedingt zu ändern, wenn man SSH auch nach aussen hin aktiviert haben möchte. Das Ganze versteht sich eigentlich von selbst, offenbar muss man aber dennoch das ein oder andere Mal häufiger darauf hinweisen. Das macht das System dann nach jedem Neustart entweder über die GUI oder die Shell: Habt Ihr SSH aktiviert und die Login-Daten eben nicht geändert, erinnert Euch Raspbian brav daran.
Wer das Kennwort des „pi“-Nutzers entsprechend ändern möchte, kann dies wie gewohnt durch die Eingabe von „passwd“ auf der Kommandozeile oder aber über die jeweilige Option in der Konfigurations-Applikation tun:
An dieser Stelle verweist man aber noch einmal ganz klar darauf, dass man aktuell keine Kenntnis von gehackten oder in Botnetzen zusammengepferchtenRaspberry Pi’s hat und es auch aktuell keinen Grund zur Panik gibt. Man möchte hier einfach nur vorsorgen und hofft auch auf Verständnis der Community. Euer Raspbian-System auf Basis von Debian „Jessie“ könnt Ihr übrigens auch aktuell halten, in dem ihr die folgenden bekannten Befehle nutzt:
sudo apt-get update
sudo apt-get dist-upgrade
sudo apt-get install -y pprompt
Persönlich kann ich mit meinem Raspberry zuhause mit den Einschränkungen sehr gut leben, habe aber diesbezüglich aber auch ein wenig den Alu-Hut auf und all das, was ich eben nicht benötige, auch deaktiviert. Aber genau diese Annahme ist ja keine General-Absolution, da nun mal die IoT-fähigen Geräte aktuell im Fokus der „bösen Buben“ stehen und man auch nicht weiß, wie es morgen aussieht. Von daher: Werft einen Blick auf Eure Systeme und beherzigt den ein oder anderen Tipp hier für Eure Umgebung, sofern diese in irgendeiner Art und Weise mit der Welt da draußen kommuniziert. Schaden kann es nicht!
Wird geladen ...
Wie wahr wie wahr…
Hallo Oliver, was ist das pprompt für ein Programm und was bewirkt es?
Hallo Matthias,
das bewirkt, beim nächsten Neustart und Laden des Desktops direkt in den „Kennwort ändern“-Dialog zu springen. Sozusagen erzwungenes Nachdenken in Sachen Kennwortrichtlinie. Das GitHub-Repository dazu findest Du unter https://github.com/raspberrypi/pprompt, das Ganze ist in dem neuen Image aber bereits mit an Bord!
Du meinst in den Images stand Ende November?
So soll es sein: https://www.raspberrypi.org/downloads/raspbian/
Mal eine Offtopic-Frage: Ich will eine billige NAS mit einem Raspberry/banana Pi basteln, die vor allem drei Dinge können muss:
1. Time Machine Backup hosten, via externe Festplatte über eSATA oder USB angeschlossen
2. Windows Dateiversionslaufwerk ebenfalls Hosten, hier entweder USB-Stick, oder SD-Karte…
3. Die Daten beider Laufwerke verschlüsseln und auf OneDrive hochladen.
4. Die NAS wäre via LAN Angeschlossen
Meint ihr das wäre machbar und dabei auch mit einer akzeptablen Performance?
@Felix – Habe ich persönlich keine Erfahrungen mit, aber ob der Raspbi (den Banana Pi hatte ich nie in den Händen) wirklich so die perfekte Plattform ist, wage ich bei den Anforderungen fast zu bezweifeln. Vielleicht echt eine kleine Syno anschaffen?
@Felix – RasPi als TimeMachine Backup läuft laut Erfahrungen so lala. Vor allem musste dann dem Mac per Konsolenbefehl erzählen das es sich um eine TimeMachine handelt – Ich hab mir ne 1 Slot Synology hingestellt – Lüppt das Teil und is günstiger als eine Apple TimeCapsule. Zwar kommt der 800MHZ Marvell CPU auch auf seine 50% last beim Backup aber das is mir schnurz, läuft ja nix anderes drauf.