Ich schreibe absichtlich kein "Tutorial" zu diesem Thema, denn es gibt keinen festen Weg sein System "sicher" zu machen. Wenn es den gäbe, dann wäre das überall voreingestellt und es gäbe keine Viren, Hacker und ähnliches. Hier sollen bloß Methoden gesammelt werden, wie man seinen Pi schützen kann. Was davon im Einzelnen umgesetzt wird, entscheidet jeder selbst.
Das sicherste ist immer, seinen Pi nicht ins Internet zu lassen, danach kommt seinen Pi nicht vom Internet aus erreichbar zu machen.
Nun gehen wir jedoch davon aus, dass dies - warum auch immer - nötig ist. in diesem Thread kann - und soll - gerne darüber diskutiert werden, was sinnvoll ist, wie man besser absichern kann, welche coolen Tools es gibt... Ich will jedoch keine diskussion darüber haben, ob ein Pi ins Internet gehört. Wie gesagt, dies ist für den Fall, dass er es muss, warum auch immer.
In Thread bitte auch Vorschläge für weitere Tipps. Ich bin auch für Alternativen offen. Genial ist natürlich ein Beitrag im Stil eines Tipps, also
Ich möchte, dass man nur diesen Beitrag lesen muss, wenn man sich nicht an der verbesserung eben dieses Beitrages beteiligen möchte und werde alle neuen Dinge hier hineineditieren. Ich behalte mir jedoch vor, auch Dinge nicht aufzunehmen, möchte das aber eigentlich nicht brauchen.
Voraussetzungen:
- keine, dies ist nur ein Guide, kein Tutorial. Voraussetzungen haben die einzelnen verlinkten Tutorials
Bemerkungen:
- Dies ist kein Tutorial sondern nur ein Guide, trotzdem gelten meine üblichen Bemerkungen
- Die Teile dieses Guides bauen NICHT aufeinander auf. Man muss NICHT vorne anfangen.
- Dieser Guide wird erweitert. Vorschläge bitte im Thread. Ich versuche alles sinnvolle aufzunehmen.
- Meine Tutorials gehen von Raspbian als Betriebssystem aus
- Meine Tutorials gehen von einem normalen Nutzer mit sudo-Rechten aus
- Trotzdem sollte es unter den meisten Betriebssystemen und auch mit einem root-Account funktionieren, da ist dann aber selbst mitdenken angesagt!
Grundlagen
- Den Standard-Benutzer 'pi' löschen und einen eigenen verwenden. Dass das Standard-Passwort auch geändert werden sollte, und vor allem nicht beides zusammen beibehalten werden sollte, muss hoffentlich nicht extra erwähnt werden.
- So wenig offene Ports wie möglich
"Warum?"
Es gibt 2 Haupt-Wege wie "etwas böses" an einen Computer kommt.
1. Ein eigenes (gemeint ist nicht "selbstgeschriebenes" sondern aus dem eigenen Rechner laufendes) Programm holt aktiv etwas böses aus dem Internet, gewollt oder nicht (z.B. ansurfen einer Virenverseuchten Website)
2. Ein offener Port wird ausgenutztGegen 1. ist die übliche Vorsicht das beste. Auf Windowssystemen auch ein Virenscanner, unter Linux ist die Gefahr einer Eigeninfektion sehr gering. Bei Serversystemen sollte man jedoch trotzdem darüber nachdenken, denn man könnte die verseuchten daten an andere (Windows-)Systeme weitergeben.
- Wenn möglich nicht den Standart-Port nutzen
"Warum?"
Es gibt zwei Arten von Angriffen
1. Angriffe auf GENAU DIESEN SERVER weil jemand GENAU DIESEN SERVER lahmlegen will, Informationen daraus haben will, etc.
2. Angriffe auf ALLE WELT!
ok und 3. man hat einfach Pech und irgendjemand hat zufällig genau dich getroffen und will ausprobieren wie gut er/sie/es hacken kann. Extrem unwahrscheinlich und Pech!!!Über 1. brauchen wir nicht zu reden. Wenn ihr damit Probleme habt, dann solltet ihr euch professionelle Hilfe suchen.
Was 2. angeht, dagegen versuchen wir uns zu schützen. Das "gute" daran ist, dass diese Angriffe darauf abziehen eine möglichst große Menge an Opfern mit minimalem Aufwand zu treffen. Daher werden hier fast nur die Standart-Ports angegriffen. Wenn wir das angegriffene programm jedoch hinter einem anderen Port laufen haben, dann wäre es zwar für einen "echten" Angriff kein wirkliches Problem dies zu bemerken, die automatischen Massenangriffe treffen jedoch nicht. Und die sind es nun mal mit denen wir am meisten zu kämpfen haben. - apticron - Benachrichtige mich bei anstehenden Updates
"Warum?"
Braucht das wirklich eine Erklärung?
Tutorial (horroreyes): apticron - Update-Benachrichtigung per Mail - ssh-keys - Anmeldung nur über einen SSH-Key
"Warum?"
Anmeldung per ssh-key setzt das Konzept der 2-Faktor-Authentisierung um. Man benötigt Besitz (den Key) und Wissen (des Keys Passwort (genannt Passphrase)) um sich anzumelden. Das heißt es reicht weder, per Keylogger oder Raten oder Bruteforce oder oder oder das Passwort zu wissen, noch reicht es den Key vom rechner gestohlen zu haben. Das eine ist ohne das andere nichts wert.
Tutorial (meigrafd): Mit SSH Key sicher auf Server zugreifen - iwatch - Konfigurations-Dateien überwachen und Veränderungen melden
"Mithilfe erwünscht"
TODO Hilf mit und schreibe als Antwort eine Begründung dafür
TODO Ein Tutorial wie das funktioniert fehlt auch noch, wenn es ein gutes gibt bitte als Antwort vorschlagen. Wenn du eines gefunden hast bitte ausprobieren und wenn es gut ist vorschlagen (und deine Erfahrungen berichten) oder mache dazu ein Tutorial
Webserver (Apache, lighttp, nginx, ...)
- das Browsen von Verzeichnissen untersagen
"Mithilfe erwünscht"
TODO Hilf mit und schreibe als Antwort eine Begründung dafür
TODO Ein Tutorial wie das funktioniert fehlt auch noch, wenn es ein gutes gibt bitte als Antwort vorschlagen. Wenn du eines gefunden hast bitte ausprobieren und wenn es gut ist vorschlagen (und deine Erfahrungen berichten) oder mache dazu ein Tutorial - Verwenden von https (SSL)
"Mithilfe erwünscht"
TODO Hilf mit und schreibe als Antwort eine Begründung dafür
TODO Ein Tutorial wie das funktioniert fehlt auch noch, wenn es ein gutes gibt bitte als Antwort vorschlagen. Wenn du eines gefunden hast bitte ausprobieren und wenn es gut ist vorschlagen (und deine Erfahrungen berichten) oder mache dazu ein Tutorial
- FTP im chroot
"Mithilfe erwünscht"
TODO Hilf mit und schreibe als Antwort eine Begründung dafür
TODO Ein Tutorial wie das funktioniert fehlt auch noch, wenn es ein gutes gibt bitte als Antwort vorschlagen. Wenn du eines gefunden hast bitte ausprobieren und wenn es gut ist vorschlagen (und deine Erfahrungen berichten) oder mache dazu ein Tutorial - FTP ohne Gastzugang
"Mithilfe erwünscht"
TODO Hilf mit und schreibe als Antwort eine Begründung dafür
TODO Ein Tutorial wie das funktioniert fehlt auch noch, wenn es ein gutes gibt bitte als Antwort vorschlagen. Wenn du eines gefunden hast bitte ausprobieren und wenn es gut ist vorschlagen (und deine Erfahrungen berichten) oder mache dazu ein Tutorial - SFPT - FTP mit SSL
"Mithilfe erwünscht"
TODO Hilf mit und schreibe als Antwort eine Begründung dafür
TODO Ein Tutorial wie das funktioniert fehlt auch noch, wenn es ein gutes gibt bitte als Antwort vorschlagen. Wenn du eines gefunden hast bitte ausprobieren und wenn es gut ist vorschlagen (und deine Erfahrungen berichten) oder mache dazu selbst ein Tutorial.
Es kommt (hoffentlich) noch viel mehr, dafür ist aber DEINE Mithilfe gefragt.
- Mache Vorschläge welches Thema aufgenommen werden könnte
- Schreibe (Kurz-)Begründungen für vorhandene Themen
- schreibe Tutorials
- zeige uns gute Tutorials
- teste Tutorials und zeige sie uns wenn sie gut sind