Möchten Sie einen RasPi als “kopflosen” Server betreiben, brauchen Sie selbst für die Installation nicht unbedingt Monitor, Maus und Keyboard. SSH und WLAN konfigurieren Sie direkt nach dem Schreiben der Image-Datei auf die Speicherkarte.
Seine geringe Leistungsaufnahme prädestiniert den Raspberry Pi für den Einsatz als “Headless”-Server. Das gilt ganz besonders für den mit WLAN ausgestatteten RasPi der dritten Generation und den Pi Zero W (Abbildung 1).
Abbildung 1: Mit einer Leistungsaufnahme von weniger als einem Watt eignet sich der Pi Zero W besonders gut als Always-On-Server.
Ein solcher Mini-Rechner werkelt unauffällig in einer Ecke vor sich hin – als Druckerserver, IP-Webcam oder was Ihnen sonst noch in den Sinn kommt. Es braucht nur eine Steckdose für das USB-Netzteil. Damit Sie beim Einrichten nicht zwingend einen Monitor oder ein Netzwerkkabel benötigen, konfigurieren Sie den drahtlosen Zugang und den SSH-Server schon vor der Installation.
Die Installation von Raspbian auf WLAN-RasPis unterscheidet sich nicht von der auf solchen Varianten ohne Funk. Grob gesagt: Image-Datei herunterladen, auspacken und das Image unter Linux mit einem geeigneten Tool oder unter Windows mit Programmen wie Etcher auf die Speicherkarte schreiben.
Damit sich das System nun beim Booten automatisch ins WLAN einbucht, legen Sie auf der Boot-Partition die Datei wpa_supplicant.conf mit dem Inhalt aus Listing 1 an [1]. Passen Sie dabei in den Zeilen 5 und 6 den Namen des WLAN-Netzwerks und das Passwort an.
Listing 1
country=DE
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev
update_config=1
network={
ssid="WLAN-Name"
psk="Passwort"
}
Drahtlos ins Netz
Die Boot-Partition enthält ein FAT-Dateisystem, das Beschreiben von Linux, Mac und Windows aus gelingt also in der Regel. Um Probleme mit der Zeichenkodierung zu umgehen, sollten Sie die Datei in Windows allerdings mit dem leistungsfähigen Open-Source-Editor Notepad++ bearbeiten [2]. Stellen Sie nach dem Laden der Datei im Menü Kodierung auf UTF-8 ohne BOM um und ändern über das Kontextmenü in der Statusleiste über Konvertiere zu UNIX (LF) den Zeilenumbruch auf den Linux-Standard (Abbildung 2).
Abbildung 2: Damit Raspbian sich automatisch in ein WLAN einbucht und den SSH-Server aktiviert, erstellen Sie auf der Boot-Partition die Datei »wpa_supplicant.conf« mit den Zugangsdaten und die leere Datei »ssh«.
Raspbian kopiert diese Datei beim nächsten Start automatisch nach /etc/wpa_supplicant in das Dateisystem, sodass der RasPi sich ohne weiteres Zutun im eingetragenen WLAN anmeldet. Damit das System im selben Zug automatisch den (inzwischen aus Sicherheitsgründen deaktivierten) SSH-Server lädt, braucht es aber noch einen zusätzlichen Kniff.
Einfallstor SSH
Seit Jahren ertönt immer wieder die Kritik an Herstellern von Routern und anderen netzwerkfähigen Geräten, dass sie im Laufe des Lebenszyklus aufgedeckte Schwachstellen ignorieren oder gar ihre Produkte schon mit Sicherheitslücken ausliefern. Dazu gehören oft Bugs in zentralen Bausteinen wie etwa dem Linux-Kernel, auf dem viele Systeme mit einem eingebetteten Computer basieren.
Als typischer – und zugleich dümmster – Fall für eine eingebaute Lücke gelten Standard-Logins mit immer demselben Passwort auf allen Geräten. In diese Kategorie fällt das Login auf einem Raspberry Pi mit Raspbian: Dort heißt der im System angelegte User immer pi und das Passwort raspberry. Das ändern Sie zwar über das Kommando passwd recht einfach, doch erzwingen tut das System dies keineswegs – und viele RasPi-User machen davon keinen Gebrauch.
Betreiben Sie den Raspberry Pi in einem öffentlich zugänglichen Netz, wäre es von daher für einen Angreifer kein großes Problem, diesen zu finden und sich anzumelden – zumal der RasPi sein Dasein über einen ARP-Scan bereitwillig mitteilt (Listing 2).
Listing 2
$ sudo arp-scan --localnet | grep Raspberry 192.168.0.100 b8:27:eb:76:1e:16 Raspberry Pi Foundation 192.168.0.101 b8:27:eb:e4:e1:30 Raspberry Pi Foundation
SSH aktivieren
Bis vor wenigen Monaten war auf den Raspbian-Images der SSH-Server von Haus aus aktiv. Somit ließ sich der Raspberry Pi “headless” aufsetzen. Sie benötigten also nicht zwingend Maus, Tastatur und einen Monitor, um das System einzurichten, was die Installation eines RasPi-Servers ungemein vereinfachte. In Anbetracht der IT-Sicherheits-GAUs der jüngsten Vergangenheit machte die Raspberry Pi Foundation mit dieser Praxis Schluss [3].
