Raspbian lässt in Zukunft den SSH-Server aus

© Sasi Ponchaisang, 123RF

Tür zu!

Schwachstellen in Routern, Webcams und anderen Geräten aus dem Internet der Dinge reißen schnell Lücken ins heimische Netz. Die Raspberry Pi Foundation reagiert auf diese Bedrohung und sichert Raspbian besser gegen Angriffe ab.

Seit Jahren wird immer wieder die Kritik an Herstellern von Routern und anderen netzwerkfähigen Geräten laut, dass sie im Laufe des Lebenszyklus aufgedeckte Schwachstellen ignorieren oder gar ihre Produkte schon mit Sicherheitslücken ausliefern. Dazu gehören oft Bugs in zentralen Bausteinen wie etwa dem Linux-Kernel, auf dem viele Systeme mit einem eingebetteten Computer basieren.

Als typischer – und zugleich dümmster – Fall für eine eingebaute Sicherheitslücke gelten Standard-Logins mit immer demselben Passwort auf allen Geräten. In diese Kategorie fällt auch die Anmeldung auf einem Raspberry Pi mit Raspbian: Dort heißt der im System angelegte User immer pi und hat das Passwort raspberry. Das lässt sich über das Kommando passwd zwar schnell ändern, doch erzwingt das System das keineswegs, und viele RasPi-User machen davon keinen Gebrauch.

Betreibt man den Raspberry Pi in einem öffentlich zugänglichen Netz, wäre es von daher für einen Angreifer kein großes Problem, den RasPi zu finden und sich anzumelden – zumal der RasPi sein Dasein über einen ARP-Scan bereitwillig mitteilt (Listing 1).

Listing 1

 

$ sudo arp-scan --localnet | grep Raspberry
192.168.0.100  b8:27:eb:76:1e:16  Raspberry Pi Foundation
192.168.0.101  b8:27:eb:e4:e1:30  Raspberry Pi Foundation

Einfallstor SSH

Bislang war auf den Raspbian-Images der SSH-Server von Haus aus aktiv. Somit ließ sich der Raspberry Pi "headless" aufsetzen. Man benötigte also nicht zwingend Maus, Tastatur und einen Monitor, um das System einzurichten, was die Installation eines RasPi-Servers ungemein vereinfachte. In Anbetracht der IT-Sicherheits-GAUs der letzten Wochen und Monate macht die Raspberry Pi Foundation mit dieser Praxis nun Schluss [1].

Mit Raspbian 2016-11-25 beherzigen die Raspbian-Entwickler das Sicherheitsmantra, standardmäßig keine Ports nach außen zu öffnen. Ergo müssen Sie ab jetzt den SSH-Server bewusst aktivieren. Was sich auf einem mit Monitor und Tastatur ausgestatteten RasPi schnell bewerkstelligen lässt, stellt den Betreiber eines Headless-RasPi vor eine Herausforderung.

Sicherheit durch NAT?

Aus den eigenen vier Wänden heraus führt der Weg ins Internet in der Regel über einen WLAN-Router. Der baut die Internet-Verbindung auf und verknüpft dann das lokale Netzwerk [2] mit dem weltweiten Netz. Anfragen von Rechnern aus dem LAN ins Internet speichert der Router in einer Tabelle und leitet die Datenpakete ins Netz weiter. Die Antworten liefert er dann anhand der NAT-Tabelle [3] zurück an die entsprechenden Geräte.

Sendet ein Rechner im Internet jedoch unaufgefordert Daten an den Router, weiß dieser damit nichts anzufangen: Ein passender Eintrag in die NAT-Tabelle fehlt. Somit schickt der Router das Datenpaket mit einer Art Vermerk "Empfänger unbekannt verzogen" wieder zurück zum Absender. Aus diesem Grund ist ein Raspberry Pi hinter einem WLAN-Router prinzipbedingt sicher, selbst wenn darauf der SSH-Server läuft und Sie das Standard-Login nicht geändert haben.

Der einzige Weg durch den Router hindurch führt über das Einrichten einer Port-Weiterleitung. Von Hand in der Weboberfläche des Routers konfiguriert oder mithilfe von Universal Plug and Play [4] (kurz UPnP) automatisch eingerichtet, leitet der Router dann Anfragen auf zuvor spezifizierten Ports an bestimmte Geräte weiter. Dann lässt sich zum Beispiel der SSH-Server des Raspberry Pi aus dem Internet heraus aufrufen oder ein Webserver auf dem Mini-Rechner betreiben.

SSH aktivieren

Wer direkt auf seinen Raspberry Pi zugreifen kann, weil neben Tastatur und Maus auch noch ein Monitor am Mini-Rechner hängt, muss zum Aktivieren von SSH keine großen Klimmzüge machen. In der Anwendung Raspberry Pi Configuration (die Sie unter Preferences im Anwendungsmenü finden) gibt es im Reiter Interfaces einen Schalter zum Aktivieren des SSH-Diensts (Abbildung 1). Da Raspbian SSH weiter von Haus aus installiert, müssen Sie hier lediglich den Schalter auf Enabled stellen und den Dialog mit OK beenden.

Abbildung 1: In Raspbian müssen Sie SSH seit dem letzten Update gezielt aktivieren.

Alternativ rufen Sie das konsolenbasierte Raspberry-Pi-Konfigurationswerkzeug mittels sudo raspi-config in einem Terminalfenster auf und schalten dort unter dem Eintrag 7 Advanced Options | A4 SSH die entsprechende Option ein (Abbildung 2). Diese Methode funktioniert auch mit dem Light-Image von Raspbian, das auf eine grafische Desktop-Umgebung verzichtet. Nach dem Aktivieren der Option steht der SSH-Zugang auch ohne Neustart wie gewohnt sofort zur Verfügung.

Abbildung 2: Das Freischalten von SSH funktioniert auch über Raspi-config im Terminal.

Dabei stößt man gleich auf eine weitere Neuerung: Solange man das Passwort des Standardnutzers pi nicht ändert, es also bei raspberry belässt, nervt Raspbian bei jeder Anmeldung mit der Aufforderung, die Passwortänderung doch bitte schnellstmöglich nachzuholen (Abbildung 3).

Abbildung 3: Ebenfalls neu: Das System bittet Sie, das Passwort für den Standardnutzer zu ändern.

Dazu genügt es, sich ganz normal einzuloggen und dann mit dem Kommando passwd das Kennwort zu ändern. Linux-typisch zeigt das System bei dieser Aktion keinerlei Sternchen oder andere Platzhalter an. Alternativ funktioniert das Ändern des Passworts auch über Raspi-config.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Raspberry Pi Geek kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • SSH und WLAN schon bei der Installation konfigurieren

    Möchten Sie einen RasPi als "kopflosen" Server betreiben, brauchen Sie selbst für die Installation nicht unbedingt Monitor, Maus und Keyboard. SSH und WLAN konfigurieren Sie direkt nach dem Schreiben der Image-Datei auf die Speicherkarte.

  • Optimiert und abgesichert: NextcloudPi als RasPi-Image

    NextcloudPi erleichtert Ihnen die Installation einer privaten Cloud. Das RasPi-Image bringt alle wichtigen Funktionen von Haus aus mit.

  • WLAN auf dem Raspberry Pi einrichten

    Zu den wichtigsten Neuerungen des Raspberry Pi 3 gehört die Integration von Bluetooth und WLAN. Besonders das drahtlose Netz ist für diverse Einsatznischen wichtig, wie etwa die Heimautomatisierung: So können Sie den RasPi frei in Haus oder Wohnung platzieren. Wir zeigen, wie Sie den RasPi ins Wireless LAN bekommen.

  • FHEM auf dem Raspberry Pi installieren

    Die Hausautomatisierungssoftware FHEM fehlt bislang in den Paketquellen von Raspbian, Sie müssen sie also manuell auf einem bestehenden System einspielen. Dieser Artikel zeigt, wie das am besten klappt.

  • Erste Schritte mit dem Raspberry Pi

    Frisch ausgepackt liegt Ihr neuer Raspberry vor Ihnen auf dem Tisch – und jetzt? Wir führen Sie durch die ersten Schritte beim Zusammenbau der nötigen Komponenten und der Installation des Standard-Betriebssystems Raspbian.

Aktuelle Ausgabe

02/2019
Neue Energien

Diese Ausgabe als PDF kaufen

Preis € 9,99
(inkl. 19% MwSt.)

Stellenmarkt

Neuigkeiten

  • Scheibchenweise

    Zu den Stärken von Sonic Pi gehört es, mit wenigen Zeilen Code Samples dynamisch auszuwählen und zu zerlegen.

  • Unter Strom

    Für einen kleinen Spannungsmesser wie den INA3221 gibt es viele Einsatzmöglichkeiten. Wir zeigen, wie Sie den flexiblen Baustein richtig verdrahten.

  • Vermittlungsstelle

    Fischertechnik-Modelle bieten sich zum Fernsteuern an. Mit dem Ftduino schlagen Sie die Brücke zwischen dem RasPi und dem Technik-Spielzeug.

  • Durchgeschlängelt

    Mit den M0-Boards steigen Sie unkompliziert in die Welt der Mikrocontroller ein – ganz ohne C-Kenntnisse.

  • Gesiebt und gefiltert

    Filter und Werbeblocker einzurichten ist besonders auf Smartphones aufwendig. Den eBlocker hingegen schließen Sie einfach nur an Ihren Router an.

  • Es werde Licht

    Wollen Sie bei beginnender Dämmerung nicht ständig die Helligkeit der heimischen Beleuchtung nachregeln, überlassen Sie das einfach einem RasPi – der macht es automatisch.

  • Energiekontrolle

    Der Gesetzgeber erschwert das Direktvermarkten von Strom durch technische Hürden: So muss sich die Einspeisung etwa aus der Ferne abschalten lassen. Der RasPi löst das Problem.

  • H<->2<->-Power

    Gilt es, Energie aus einer regenerativen Quelle zu speichern, erweist sich die Kombi aus einer Brennstoffzelle und dem RasPi als ideale Lösung.

  • Kleine Wolke

    Lokale Cloud-Lösungen im Heimnetz finden immer mehr Nutzer. Mit dem RasPi und Seafile haben Sie eine Lösung zur Hand, die selbst professionellen Ansprüchen genügt.

  • Planvoll verdrahtet

    Die Leiterplattendesign-Software KiCad leistet trotz einer etwas umständlichen Bedienung auch Hobbybastlern gute Dienste.