Hier lese ich immer wieder das User den PI zum Internet öffnen.
In der Default Konfiguration des OS und der Programme besteht ein nicht zu Unterschätzendes Risiko das
der PI gehackt und missbraucht wird.
Ich werde hier nach und nach ein paar Tips schreiben welche den PI härten.
Einiges ist hier schon geschrieben worden, ich werde darauf verweisen und evtl die Elementaren Schritte noch einmal verdeutlichen.
Ich möchte noch darauf hinweisen das ich kein sudo benutze.
Administrative Aufgaben erledige ich als root. Warum erkläre ich unten.
Auch ist der MTA des PI so eingerichtet das der PI in der Lage ist Emails zu versenden.
1. System aktuell halten
2. Portforwarding am Router
3. sudo vs su
4. SSH sicher machen
1. System aktuell halten
EDIT: Besser informieren lassen als Updates automatisch installieren,
Informieren lassen wenn Updates vorliegen.
Das geht ganz einfach über ein Script und mittels Cron
Zuerst legen wir eine Datei an und machen sie ausführbar.
in die Datei kommt nun folgendes :
Dann öffnen wir den Crontab
und fügen folgende Zeile ein :
Alternativ können wir anstelle von crontab einen Symbolischen Link nach /etc/cron.daily anlegen
Nun sollte der PI jeden Tag nach Updates suchen und euch eine Mail zusenden .
2. Portforwarding am Router
Es sollten immer nur die Ports am Router weitergeleitet werden welche man wirklich benötigt.
Den PI als "Exposed Host" einutragen ist keine gute Idee da er dort vollkommen offen im Internet steht.
3. sudo vs su
Hat jemand das Passwort des User PI bekommen kann er als root mittels sudo befehle ausführen.
Dem kann man entgegenwirken indem man su anstelle von sudo benutzt.
fragt das Passwort des Benutzer ab welcher den Befehl abgesetzt hat.
Lässt uns erst zu root werden indem das root Passwort gefragt wird
Anschliessend können wir als Root befehle eingeben.
su hat also den Vorteil das neben dem Userpasswort auch das root Passwort im Besitz des Angreifers sein muss.
Zuerst müssen wir root ein Passwort geben.
jetzt nehmen wir den user PI aus der Sudoers.
Nun ändern wir folgende Zeile :
in
Ab sofort kann man sudo nicht mehr nutzen
Man muß sich mittels su erst explizit zum root machen.
4. SSH sicher machen
Zu dem Thema werde ich die Tage ein eigenes Tutorial schreiben und dann hier verlinken.