OS absichern

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo Forum,

    nach dem Aufspielen eines aktuellen Raspian-Images habe ich mir gedacht, ich fange damit an, das Betriebssystem abzusichern, bevor ich damit ins Internet gehe. Damit meine ich nicht das Anbieten irgend welcher Serverdienste (Owncloud, ...), sondern einfaches surfen.

    Dabei bin ich auf die folgenden beiden Seiten gestoßen:
    Raspberry im Internet absichern › waschto.eu
    Raspberry Pi im Internet - Absichern eures Mini-Rechners

    Ich habe also angefangen, sowohl für den Benutzer "Pi" als auch "Root" erfolgreich ein Passwort zu vergeben. Dann wollte ich eigentlich einen neuen Benutzer anlegen um zuletzt den Standardbenutzer "Pi" zu löschen. Dabei stoße ich aber auf einige Probleme.

    Zunächst mal habe ich einen neuen Benutzer mit der gleichen Gruppenzugehörigkeit eingerichtet:

    Code
    sudo useradd –m neuerBenutzer –G $(groups|cut -d" " -f2-|sed 's/ /,/g')

    Anmelden konnte ich mich aber mit dem neuen Benutzer nicht. Erst als ich herausgefunden habe, dass für den neuen Benutzer beim Anmelden offenbar noch das US-Tastaturlayout verwendet wird. Deswegen scheitert natürlich die Eingabe des Passworts. Beim Standardbenutzer "Pi" ist das komischerweise kein Problem.

    Bin ich dann angemeldet wird im Terminal dann plötzlich doch das deutsche Tastaturlayout genutzt. Wo stelle ich denn das korrekte Tastaturlayout für den neuen Benutzer ein? Sowohl über das Konfigurationstool im Pixel-Desktop als auch im Terminal per "sudo raspi-config" scheint das Ändern nicht zu funktionieren bzw. abgespeichert zu werden. Nach einem Neustart ist wieder alles beim alten.

    Wieso verlangt Raspian beim neuen Benutzer für sudo-Befehle ein Passwort?

    Das Programm "Raspberry-Pi-Konfiguration" scheint übrigens auf den Benutzer "Pi" angewiesen zu sein. Als ich diesen bei einem früheren Versuch (vor dem erneuten Aufspielen von Raspian) gelöscht hatte, hat das Programm nämlich mit einer Fehlermeldung abgebrochen, in der der fehlende Standardbenutzer moniert wurde.

    Deswegen frage ich mich, wie aktuell die beiden gefundenen Anleitungen eigentlich noch sind. Beschreiben die Anleitungen immer noch den bevorzugten Weg, wie ein neues System abgesichert werden soll, oder gibt es eventuell neuere Anleitungen, die ich nur nicht gefunden habe?

    Gruß
    Martin

    Einmal editiert, zuletzt von WittPi (3. Mai 2017 um 22:19)

  • Sali Martin.

    Herzlich willkommen im Forum.

    Der Befehl:
    [code=php]sudo rpi-update[/php]
    ist kritisch - dadurch kannst du auf Entwicklungsversionen landen - Hier eine gute erklärung:
    https://www.elektronik-kompendium.de/sites/raspberry-pi/2006061.htm

    Von daher am Besten nochmals von vorne beginnen ohne diesen Befehl.

    Die Einrichtung von iptables ist in Ordnung doch für einfaches Surfen wird das sicher nicht benötigt.
    Dazu kommt noch die Frage WIE dein PI ins Internet geht. Evtl. Blockt dein Router schon vorher ab und du baust dir hier lediglich eine grosse Fehlerquelle für wenig bis gar kein Nutzen.

    Gruss
    Dani

  • Es ist sehr weise dass Du Dir über das Thema Gedanken machst. Ich möchte nicht wissen wie viele unsichere Raspis schon gekapert wurden und in Botnetzen haengen.

    Ich gehe mal davon aus dass Du Deine Raspi nicht direkt ans Internet gehaengt hast sondern ein Router dazwischen haengt. Solange Du keine Ports der Raspi im Router freigibst so dass man auf sie aus dem Internet zugreifen kann brauchst Du Dir keine Sorgen zu machen. Du schreibst "einfach surfen" und das bedeutet dass Du keine Ports freigeben musst und somit Dein Router Deine Raspi schützt :)

  • framp: Grundsätzlich hast du Recht, aber sobald ein Computer aktiv selber im Internet unterwegs ist setzt man ihn auch Gefahren aus.
    Da er direkt mit dem Pi surfen will wird jedes mal eine Verbindung zum jeweiligen Webserver hergestellt und die Seite könnte Schadsoftware einschleusen. Allerdings muss man jetzt auch dazu sagen das 99,9% der Schadsoftware nur für Windows oder Flash ausgerichtet sind. Trotzdem kann Vorsicht besser sein als Nachsicht ;)
    Mein G-DATA Internet Security (Windows) springt zB manchmal an und meldet zB das eine Seite versucht hat meinen PC zu scannen - obwohl ich kein Portforwarding nutze / aktiviert habe.


    Nicht jeder darf "sudo" einfach so nutzen - das wäre ziemlich doof und extrem unsicher. Bei Raspbian ist es standardmäßig so eingerichtet das "pi" das uneingeschränkt darf. Wenn du deinen Pi absichern willst dann behalte die Passwordabfrage zur Verwendung von "sudo" bei.

    Guck dir auch mal das an: FAQ => Nützliche Links / Linksammlung => SSH sicher am Internet

    Mit "Raspberry-Pi-Konfiguration" meinst du denk ich nicht rpi-update - selbst wenn gibt es da keine Einschränkung sodass nur "pi" das nutzen könnte, es ist auch nicht auf "pi" angewiesen.
    Mit "Raspberry-Pi-Konfiguration" meinst du vermutlich "raspi-config"? Auch das ist nicht auf den Benutzer "pi" angewiesen, hat aber einige Optionen die explizit für den Benutzer "pi" ausgelegt sind - das sind aber 2 verschiedene paar Schuhe.


    PS: Case Sensitiv! "Pi" als Benutzer gibt es nicht, nur "pi". Auch "Root" gibt es nicht, nur "root".

  • Normalerweise bekommt, beim anlegen eines neuen Nutzers, der als default-Gruppe einen neue Gruppe, deren Name gleich seinem Benutzername ist.
    Man muss also keine Kniffe machen, wenn an einen normalen Benutzer anlegt.

    Computer ..... grrrrrr

  • Zunächst mal vielen Dank an alle für eure Beiträge.

    Zitat von dll-live

    Der Befehl sudo rpi-update ist kritisch


    Soweit war ich in den Anleitungen noch gar nicht gekommen. Dennoch danke für den Hinweis. Das nährt natürlich meine Zweifel, ob die schon erwähnten Webseiten/URLs wirklich auf dem aktuellen Stand sind bzw. verlässliche Tipps vermitteln.

    Zitat von dll-live

    Dazu kommt noch die Frage WIE dein PI ins Internet geht. Evtl. Blockt dein Router schon vorher ab und du baust dir hier lediglich eine grosse Fehlerquelle für wenig bis gar kein Nutzen.

    Die Information hätte ich schon oben ergänzen sollen. Mein Raspberry Pi 3 hängt an einer Fritzbox und ist bisher eigentlich immer mit einem Cat6-Kabel verbunden. Erst wenn ich die "Grundsicherung" erledigt habe, wollte ich auch mal den WLAN-Empfang in verschiedenen Räumen testen.

    Zitat von framp

    Solange Du keine Ports der Raspi im Router freigibst so dass man auf sie aus dem Internet zugreifen kann brauchst Du Dir keine Sorgen zu machen.


    Bisher keine Port-Weiterleitung. Wirklich nur einfaches Surfen. Dennoch ist mir die NAT und die Firewall in der Fritzbox nicht genug. Schlafe einfach ruhiger, wenn auch der Pi so sinnvoll wie möglich abgesichert ist, auch wenn das vielleicht leicht paranoid ist. ;)

    Zitat von meigrafd

    Wenn du deinen Pi absichern willst dann behalte die Passwordabfrage zur Verwendung von "sudo" bei.


    Werde den Tipp beherzigen. Habe jetzt durch weitere Recherche dank deiner Linktipps zumindest den Grund (/etc/sudoers bzw. sudo visudo) für die unter dem Standardbenutzer "pi" fehlende Passworteingabe gefunden. :D

    Zitat von meigrafd

    Mit "Raspberry-Pi-Konfiguration" meinst du denk ich nicht rpi-update … Mit "Raspberry-Pi-Konfiguration" meinst du vermutlich "raspi-config"

    "Raspberry-Pi-Konfiguration" bezog sich auf das gleichnamige Programm im Menü des Pixel Desktop. Laut .desktop-Datei wird dabei die Datei rc_gui (GTK version of raspi-config) aufgerufen. Als ich den Standardbenutzer "pi" entfernt hatte, erhielt ich nur noch die folgende Fehlermeldung:

    Zitat von meigrafd

    PS: Case Sensitiv! "Pi" als Benutzer gibt es nicht, nur "pi". Auch "Root" gibt es nicht, nur "root".


    Das war nur ein Formatierungsfehler meinerseits hier im Forum. Selbstverständlich arbeite ich am Raspberry Pi mit den korrekten Benutzernamen (Kleinbuchstaben). Trotzdem danke für den Hinweis.

    Zitat

    Man muss also keine Kniffe machen, wenn an einen normalen Benutzer anlegt.


    Ein normaler Benutzer ist der neu angelegte durchaus. Er hat also laut groups seine eigene Gruppe. Der neue Benutzer soll allerdings auch die gleichen Gruppenzugehörigkeiten wie "pi" haben, um evtl. spätere Probleme zu vermeiden.

    Und damit kommen wir zu dem immer noch bestehenden Problem, für das ich eine Lösung suche. Wieso ist für den neuen Benutzer bei der Anmeldung am Desktop das US-Tastaturlayout eingestellt, während mit "pi" offenbar problemlos das deutsche Layout verwendet wird. Ich merke das daran, weil in beiden Benutzerpasswörtern Sonderzeichen enthalten sind. Wenn ich bei der Anmeldung mit dem neuen Benutzer das Passwort so eingebe, wie die Zeichen auf der Tastatur stehen, verweigert das System die Anmeldung mit dem Hinweis "Falsches Passwort". Erst wenn ich die Sonderzeichen so eingebe, wie sie im US-Layout verteilt sind, gelingt die Anmeldung.

    Bin ich dann allerdings angemeldet und öffne beispielsweise ein Terminal, ist plötzlich dann doch wieder das deutsche Layout eingestellt. Wenn ich dort das Benutzerpasswort für einen sudo-Befehle eingeben soll, gilt dann das deutsche Layout. Das finde ich verwirrend. Deshalb die Frage, wo das eventuell konfiguriert ist bzw. wo ich das korrekte Tastaturlayout für die Anmeldung am Pixel-Desktop einstellen kann.

    Einmal editiert, zuletzt von WittPi (4. Mai 2017 um 19:10)


  • Soweit war ich in den Anleitungen noch gar nicht gekommen. Dennoch danke für den Hinweis. Das nährt natürlich meine Zweifel, ob die schon erwähnten Webseiten/URLs wirklich auf dem aktuellen Stand sind bzw. verlässliche Tipps vermitteln.

    ==> Diesen Befehl haben viele Tutorials enthalten. Sobald man sich in der grossen Welt des Internets bewegt hilft es, wenn man selber etwas mitdenkt und die Befehle versteht nicht einfach nur blind hinter der Anleitung hinterher galoppiert. :angel:
    Ansonsten sehen die Anleitungen auf den ersten Blick ok aus.


    Mein Raspberry Pi 3 hängt an einer Fritzbox und ist bisher eigentlich immer mit einem Cat6-Kabel verbunden. Erst wenn ich die "Grundsicherung" erledigt habe, wollte ich auch mal den WLAN-Empfang in verschiedenen Räumen testen.


    ==> Ob du deinen Pi nun über LAN oder WLAN ins Internet hängst spielt für die Absicherung in diesem Fall keine Rolle, schliesslich kommt ja beides auf der Fitzbox wieder zusammen...


    Bisher keine Port-Weiterleitung. Wirklich nur einfaches Surfen. Dennoch ist mir die NAT und die Firewall in der Fritzbox nicht genug. Schlafe einfach ruhiger, wenn auch der Pi so sinnvoll wie möglich abgesichert ist, auch wenn das vielleicht leicht paranoid ist. ;)


    ==> Das ist wohl etwas mehr als nur leicht :fies: . Aus meiner Sicht ist der Aufwand im Verhältnis zum erhaltenen Schutz nicht sinnvoll. Doch im Grundsatz Top,
    Eigentlich dürfte ich gar nichts sagen :stumm: , denn ich Sitz hinter 2 Hardware-Firewall doch das hat andere Gründe und muss hier nicht weiter ausgeschaltet werden....


    Zum Thematastaturlayout habe ich einfach mal gegoogelt. Evtl hilft dir ja ein Link weiter:
    https://www.raspberrypi.org/forums/viewtopic.php?f=75&t=132677
    deutsches tastaturlayout einstellen

    Gruss Dani

    Einmal editiert, zuletzt von dll-live (4. Mai 2017 um 21:07)

  • Vielen Dank für deine Links zum Tastaturlayout. :)

    Mit Hilfe der Links und weiterem Testen bin ich mittlerweile zu dem Schluß gekommen, dass ich wohl ein generelles Tastaturproblem habe. Den Fehler selbst (UK bzw. US Layout beim Anmelden im PIXEL-Desktop bzw. X-Server) habe ich noch nicht beheben können. Entgegen der Beschreibung oben habe ich nämlich festgestellt, dass ich auch mit dem Standardbenutzer "pi" Probleme bei der Anmeldung habe, wenn dieser bestimmte Sonderzeichen wie z.B. "?" im Passwort enthält.

    Das ist aber wahrscheinlich besser etwas für eine neue Frage, weil es damit nichts mehr mit dem Thema "OS absichern" zu tun hat. Deswegen setze ich diese Diskussion hier auf "erledigt" und bedanke mich nochmal für eure Beiträge. :)

    Einmal editiert, zuletzt von WittPi (7. Mai 2017 um 14:23)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!