Raspbian lässt in Zukunft den SSH-Server aus

© Sasi Ponchaisang, 123RF

Tür zu!

Schwachstellen in Routern, Webcams und anderen Geräten aus dem Internet der Dinge reißen schnell Lücken ins heimische Netz. Die Raspberry Pi Foundation reagiert auf diese Bedrohung und sichert Raspbian besser gegen Angriffe ab.

Seit Jahren wird immer wieder die Kritik an Herstellern von Routern und anderen netzwerkfähigen Geräten laut, dass sie im Laufe des Lebenszyklus aufgedeckte Schwachstellen ignorieren oder gar ihre Produkte schon mit Sicherheitslücken ausliefern. Dazu gehören oft Bugs in zentralen Bausteinen wie etwa dem Linux-Kernel, auf dem viele Systeme mit einem eingebetteten Computer basieren.

Als typischer – und zugleich dümmster – Fall für eine eingebaute Sicherheitslücke gelten Standard-Logins mit immer demselben Passwort auf allen Geräten. In diese Kategorie fällt auch die Anmeldung auf einem Raspberry Pi mit Raspbian: Dort heißt der im System angelegte User immer pi und hat das Passwort raspberry. Das lässt sich über das Kommando passwd zwar schnell ändern, doch erzwingt das System das keineswegs, und viele RasPi-User machen davon keinen Gebrauch.

Betreibt man den Raspberry Pi in einem öffentlich zugänglichen Netz, wäre es von daher für einen Angreifer kein großes Problem, den RasPi zu finden und sich anzumelden – zumal der RasPi sein Dasein über einen ARP-Scan bereitwillig mitteilt (Listing 1).

Listing 1

 

$ sudo arp-scan --localnet | grep Raspberry
192.168.0.100  b8:27:eb:76:1e:16  Raspberry Pi Foundation
192.168.0.101  b8:27:eb:e4:e1:30  Raspberry Pi Foundation

Einfallstor SSH

Bislang war auf den Raspbian-Images der SSH-Server von Haus aus aktiv. Somit ließ sich der Raspberry Pi "headless" aufsetzen. Man benötigte also nicht zwingend Maus, Tastatur und einen Monitor, um das System einzurichten, was die Installation eines RasPi-Servers ungemein vereinfachte. In Anbetracht der IT-Sicherheits-GAUs der letzten Wochen und Monate macht die Raspberry Pi Foundation mit dieser Praxis nun Schluss [1].

Mit Raspbian 2016-11-25 beherzigen die Raspbian-Entwickler das Sicherheitsmantra, standardmäßig keine Ports nach außen zu öffnen. Ergo müssen Sie ab jetzt den SSH-Server bewusst aktivieren. Was sich auf einem mit Monitor und Tastatur ausgestatteten RasPi schnell bewerkstelligen lässt, stellt den Betreiber eines Headless-RasPi vor eine Herausforderung.

Sicherheit durch NAT?

Aus den eigenen vier Wänden heraus führt der Weg ins Internet in der Regel über einen WLAN-Router. Der baut die Internet-Verbindung auf und verknüpft dann das lokale Netzwerk [2] mit dem weltweiten Netz. Anfragen von Rechnern aus dem LAN ins Internet speichert der Router in einer Tabelle und leitet die Datenpakete ins Netz weiter. Die Antworten liefert er dann anhand der NAT-Tabelle [3] zurück an die entsprechenden Geräte.

Sendet ein Rechner im Internet jedoch unaufgefordert Daten an den Router, weiß dieser damit nichts anzufangen: Ein passender Eintrag in die NAT-Tabelle fehlt. Somit schickt der Router das Datenpaket mit einer Art Vermerk "Empfänger unbekannt verzogen" wieder zurück zum Absender. Aus diesem Grund ist ein Raspberry Pi hinter einem WLAN-Router prinzipbedingt sicher, selbst wenn darauf der SSH-Server läuft und Sie das Standard-Login nicht geändert haben.

Der einzige Weg durch den Router hindurch führt über das Einrichten einer Port-Weiterleitung. Von Hand in der Weboberfläche des Routers konfiguriert oder mithilfe von Universal Plug and Play [4] (kurz UPnP) automatisch eingerichtet, leitet der Router dann Anfragen auf zuvor spezifizierten Ports an bestimmte Geräte weiter. Dann lässt sich zum Beispiel der SSH-Server des Raspberry Pi aus dem Internet heraus aufrufen oder ein Webserver auf dem Mini-Rechner betreiben.

SSH aktivieren

Wer direkt auf seinen Raspberry Pi zugreifen kann, weil neben Tastatur und Maus auch noch ein Monitor am Mini-Rechner hängt, muss zum Aktivieren von SSH keine großen Klimmzüge machen. In der Anwendung Raspberry Pi Configuration (die Sie unter Preferences im Anwendungsmenü finden) gibt es im Reiter Interfaces einen Schalter zum Aktivieren des SSH-Diensts (Abbildung 1). Da Raspbian SSH weiter von Haus aus installiert, müssen Sie hier lediglich den Schalter auf Enabled stellen und den Dialog mit OK beenden.

Abbildung 1: In Raspbian müssen Sie SSH seit dem letzten Update gezielt aktivieren.

Alternativ rufen Sie das konsolenbasierte Raspberry-Pi-Konfigurationswerkzeug mittels sudo raspi-config in einem Terminalfenster auf und schalten dort unter dem Eintrag 7 Advanced Options | A4 SSH die entsprechende Option ein (Abbildung 2). Diese Methode funktioniert auch mit dem Light-Image von Raspbian, das auf eine grafische Desktop-Umgebung verzichtet. Nach dem Aktivieren der Option steht der SSH-Zugang auch ohne Neustart wie gewohnt sofort zur Verfügung.

Abbildung 2: Das Freischalten von SSH funktioniert auch über Raspi-config im Terminal.

Dabei stößt man gleich auf eine weitere Neuerung: Solange man das Passwort des Standardnutzers pi nicht ändert, es also bei raspberry belässt, nervt Raspbian bei jeder Anmeldung mit der Aufforderung, die Passwortänderung doch bitte schnellstmöglich nachzuholen (Abbildung 3).

Abbildung 3: Ebenfalls neu: Das System bittet Sie, das Passwort für den Standardnutzer zu ändern.

Dazu genügt es, sich ganz normal einzuloggen und dann mit dem Kommando passwd das Kennwort zu ändern. Linux-typisch zeigt das System bei dieser Aktion keinerlei Sternchen oder andere Platzhalter an. Alternativ funktioniert das Ändern des Passworts auch über Raspi-config.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Raspberry Pi Geek kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • SSH und WLAN schon bei der Installation konfigurieren

    Möchten Sie einen RasPi als "kopflosen" Server betreiben, brauchen Sie selbst für die Installation nicht unbedingt Monitor, Maus und Keyboard. SSH und WLAN konfigurieren Sie direkt nach dem Schreiben der Image-Datei auf die Speicherkarte.

  • Optimiert und abgesichert: NextcloudPi als RasPi-Image

    NextcloudPi erleichtert Ihnen die Installation einer privaten Cloud. Das RasPi-Image bringt alle wichtigen Funktionen von Haus aus mit.

  • Editorial 01-02/2019

    Im November überraschte uns die Raspberry Pi Foundation gleich doppelt: Mit einer A+-Variante des Raspberry Pi 3 und einer neuen Raspbian-Version, die endlich einen hardwarebeschleunigten, grafischen Multimedia-Player mitbringt.

  • WLAN auf dem Raspberry Pi einrichten

    Zu den wichtigsten Neuerungen des Raspberry Pi 3 gehört die Integration von Bluetooth und WLAN. Besonders das drahtlose Netz ist für diverse Einsatznischen wichtig, wie etwa die Heimautomatisierung: So können Sie den RasPi frei in Haus oder Wohnung platzieren. Wir zeigen, wie Sie den RasPi ins Wireless LAN bekommen.

  • FHEM auf dem Raspberry Pi installieren

    Die Hausautomatisierungssoftware FHEM fehlt bislang in den Paketquellen von Raspbian, Sie müssen sie also manuell auf einem bestehenden System einspielen. Dieser Artikel zeigt, wie das am besten klappt.

Aktuelle Ausgabe

06/2019
Home Improvement

Diese Ausgabe als PDF kaufen

Preis € 9,99
(inkl. 19% MwSt.)

Stellenmarkt

Neuigkeiten

  • Verschlungene Pfade

    Mit Schleifen, Fallunterscheidungen und Funktionen programmieren Sie komplexe Skripte auf einfache und elegante Weise.

  • Extrem genau

    Mit einem A/D-Wandler messen Sie bei Bedarf Spannungen. Der MCP3424 macht dabei konstruktionsbedingt eine gute Figur.

  • Verbindungsaufnahme

  • Süßer Wecker

    Dem RasPi fehlen sowohl eine Echtzeituhr als auch ein BIOS, ein zeitgesteuertes Wecken erfordert also Zusatzkomponenten. Hier springt der Witty Pi Mini in die Bresche, ein µHAT von UUGear.

  • Windows to go

    Das Aufsetzen zuverlässiger und sicherer Remote-Desktop-Lösungen erfordert einiges Know-how. Die RasPi-basierte Pinbox von Pintexx reduziert den Konfigurationsaufwand auf ein Minimum.

  • Prima Klima

    In Museen ist es Pflicht, zu Hause nützlich: das permanente Prüfen und zentrale Erfassen der Feuchtigkeit und Temperatur in Räumen.

  • Auf einen Blick

    Ein maßgeschneiderter Infoscreen auf RasPi-Basis mit stromsparendem E-Ink-Display zeigt Termine, Bilder, Mitteilungen und Wetterinformationen an.

  • Sanft berührt

    Mit einem RasPi und dem Controllermodul PiXtend lassen sich mühelos Roboterarme ansteuern und deren Bewegung automatisieren.

  • Popcorn-Kino

    Mit Kodi 18.0 unterstützt LibreELEC 9.0 jetzt die von vielen Streaming-Diensten genutzte DRM-Verschlüsselung. Die Integration von Netflix, Amazon und Co. erfordert allerdings Handarbeit.

  • So nah und doch so fern

    Der RasPi kommt häufig als Server oder Steuerrechner für spezielle Zwecke zum Einsatz. Mit Anydesk erhalten Sie dazu eine Steuersoftware mit grafischer Oberfläche.