RasPi und Sicherheit

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo,

    ich nutze derzeit meinen Pi als Webserver und ihn zugleich als IRC Server nutzen.

    Nun fällt mir gerade auf, dass der Pi föllig nackt ist. Es befindet sich kein Virenprogramm oder änhliches drauf.

    Könnt ihr mir Programe/Tool empfehlen, die mich gegen Viren und bösartige Angriffe auf den Pi und mein Heimnetzwerk schützen ?

    MfG

    Mit freundlichen Grüßen,
    Energy :)

    Einmal editiert, zuletzt von Energy (30. September 2013 um 20:01)

  • Hallo,

    als erstes würde ich an deiner Stelle iptables(Firewall, wenn ich es richtig weiß) instalierren um alle Ports dicht zumachen, über die es keinen Zugriff auf den Pi geben soll.
    NAT ist keine Firewall und bietet kaum Schutz!

    Als nächstes empfhele ich folgendee Threads zum Thema:


    https://forum-raspberrypi.de/forum/thread/2080-raspberry-pi-server-sicherheit/?page=1

    Der_Imperator
    30. März 2013 um 13:49

    https://forum-raspberrypi.de/forum/thread/1…hlight=IPtables

    [Edit]

    https://www.forum-raspberrypi.de/Thread-tutoria…n-sch%C3%BCtzen

    [/Edit]

    Einmal editiert, zuletzt von der_Waelder (30. September 2013 um 20:38)

  • Ein Virenscanner, wenn du einen haben möchtest wäre z.B. ClamAV.
    infos findest du hier.

    Ansonsten mach dich lieber erst mal Schlau was für Gefahren auf dich warten wenn du Services ins Internet stellst.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Wenn du sichere Passwörter nutzt, von den Standardports abweichst und alles immer aktuell und so minimal wie nötig konfiguriert hältst, geht die Wahrscheinlichkeit Opfer eines zufälligen Angriffs zu werden auch ohne iptables oder so einen Schwachsinn wie Anti-Viren-Scanner gegen null.
    Iptables bieten gegen gezielte Angriffe mehr Schutz, aber die darf man bei einem RPI an einem DSL-Anschluss wohl kaum erwarten..

    Einmal editiert, zuletzt von xlemmingx (1. Oktober 2013 um 08:45)

  • Ich würde jemandem der Firewall und Virenscanner für Schwachsinn hält nicht unbedingt vertrauen. Und zufällige Angriffe gibt es eher selten. Ein Angreifer will immer irgendwas erreichen, da hilft es wenig, keine Standartports zu nutzen. Wahr ist allerdings, dass durch die wechselnde IP-Adresse ein Angriff erschwert wird. Allerdings relativiert sich das ganze, da Du ja, wenn der Rechner von aussen erreicht werden soll irgend einen Dienst wie z.B. DynDNS nutzen müsstest. Dein Augenmerk sollte eher auf Deinem Router liegen, wenn überhaupt ist der das Einfalltor für Angriffe.

  • Das war vielleicht etwas überspitzt formuliert, aber wenn er nicht grade Bankgeheimnisse auf seinem Pi speichert, ist das doch mit Kanonen auf Spatzen schießen.

    Für x86-Linux-Systeme gibt es schon nur eine Handvoll verbreitete Trojaner, für ARM ist mir kein populärer bekannt. Wozu dann den Pi, der ohnehin schon schwach auf der Brust ist, auch noch mit einem AV belasten?

    Wer genau hat denn Interesse einen privaten Home-Server gezielt zu infiltrieren? Die Wahrscheinlichkeit dass es da was zu holen gibt ist sehr gering und der Aufwand wenn die einfachsten "Verschleierungsmaßnahmen" getroffen werden unverhältnismäßig hoch. In der Zeit in der man als Angreifer die Ports Programmen zuordnet findet man per Scan anderswo 5 SSH-Zugänge die mit root/1234 gesichert sind und könnte sich da austoben.

  • Wer genau hat denn Interesse einen privaten Home-Server gezielt zu infiltrieren?


    Da fällt mir so einiges ein.
    Von der Spammailschleuder bis zum Zombie....

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Solche Massenzombies werden ausschließlich per Standardexploits über selbstverbreitende Maleware produziert, dafür setzt sich kein Mensch eine halbe Stunde hin um EINEN Home-PC zu knacken.
    Falls du dich schoneinmal an sowas versucht hast weißt du was das für eine Arbeit ist, selbst wenn man ein Szenario mit teilweise veralteter Software hernimmt für die es öffentliche Lücken und entsprechende Schadsoftware gibt. Sowas passiert bei großen Botnetzen nicht manuell sondern nur über Software und es würde viel zu lange dauern bei jeder IP alle Ports zu scannen, da werden die Standardports gepingt und sonst nichts. Außerdem müsste sich bei einer dynamischen IP tatsächlich jemand hinsetzen und entweder versuchen auf den Router zu kommen oder in irgendwelchen Config-Files einen Verweis auf eine DynDNS-Addresse zu finden damit die Kiste morgen überhaupt noch erreichbar ist. So etwas ist absolut unrealistisch für einen Home-Server. Potenzielle Ziele sind entweder Firmenserver wegen der Daten oder Privatserver mit ordentlicher Anbindung und ordentlich Platz für Warez, alles andere nutzt demjenigen der tatsächlich als Mensch davor sitzt und andere PCs "hackt" garnichts, im Botnetz aufbauen sind die Bots selbst wesentlich schneller.

  • Nicht standardmässige Ports zu benutzen ist so wie sich kleine Kinder die Hände vor die Augen halten und denken dass sie von den anderen nicht mehr gesehen werden können.

    Normalerweise reicht Dein Router der nur die irc und Webports zu Deiner Pi durchlässt um Dein lokales Netz zu schützen. Problematisch ist dann wenn ein irc oder Webserver bug es dem Angreifer erlaubt root Rechte auf Deiner Pi zu bekommen. Dann nützt Dir auch keine noch so geschickte iptables Konfig ... derjenige kann sich in Deinem lokalen Netz austoben.

    Der professionelle Ansatz dazu ist eine sog. DMZ einzurichten und Server, die aus dem Internet erreichbar sind in diese zu stellen. Das erfordert im SOHO Bereich, dass Du einen Router hast, der es erlaubt eine DMZ zu konfigurieren. Fritz Boxen z.B. bieten da Support. Ansonsten kannst Du nur dafür sorgen immer die latest Securitupdates auf Deiner Pi zu haben ... und zu hoffen dass Du sie immer schnell genug auf Deiner Pi aktivierst bevor jemand das Securityloch ausnutzt.

  • Auf meinem Pi läuft das Debian auch vollkommen "Nackt", wenn Du es so willst.
    Ich vertraue auf die GNU/Linux internen Sicherheitsmaßnahmen, gesunden Menschenverstand und vermeide das unnötige belasten des Geräts durch Dienste, für die ich keine Verwendung finde.

    Zusätzliche Firewalls sind in meinen Augen auch unter Windows vollkommener Blödsinn, dazu sind "Router" da, die sich um den Kram zu kümmern haben, das entlastet die Systeme ungemein und erspart Dir zusätzlichen Konfigurationsaufwand für die einzelnen Rechner (wozu auch der Pi gehört).

    Virenscanner sind auf einen Pi auch eher Ballast, da diese meist aktiv bleiben oder sich immer mal einschalten, was bei der Hardware schon mal zu guten load führen kann, zumal die Festplatten nur per USB2 angebunden sind, wenn überhaupt.

    Sollte es von Nöten sein, lädt man sich eine AV-LiveCD und brennt diese auf Scheibe oder kopiert die Daten auf einen Stick.
    Das Teil läuft unabhängig vom PC-OS und kann damit die Festplatten auch beleuchten, ohne, dass ein Virus, Trojaner oder solche Scherze dem Teil etwas erzählen wollen.

    Vermeide es soweit wie möglich, Fremdquellen einzubinden und beziehe Deine Pakete möglichst nur aus seriösen Quellen.
    Rapidshare, Bittorrent und dergleichen haben hier nichts verloren, auch beim PPA, welches Ubuntu verwendet, kann man sich nie ganz sicher sein.

    Ansonsten ist vieles schon genannt, nur die Ports zum Pi durchlassen, welche wirklich von außerhalb des LANs gebraucht werden, der Rest liegt bei Dir.
    Selbst das beste System ist gegen die "Intelligenz" vom Layer8 machtlos, wenn dieser tausende Dinge lädt, installiert und umstellt (etwas, was ich im privaten Umfeld leider nur zu oft erlebe, weshalb ich mir vor jeder Supportrunde in die Hosen mache).


    Grüße
    Hustenbold

    [font="Courier New"]

    Code
    print("Hallo Welt!")


    [/font]

    Einmal editiert, zuletzt von Hustenbold (3. Oktober 2013 um 00:49)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!