Raspberry Pi – SSH Zugriff einschränken – Teil 1
Mit eingeschaltetem SSH kann man schnell über das Netzwerk auf den Raspberry Pi zugreifen. Wenn keine Eingabegeräte wie Tastatur und Maus angeschlossen sind ist dies auch eine der wenigen Möglichkeiten den Raspberry Pi zu administrieren. Eine andere Möglichkeit wäre ein USB to TTL Debug Kabel. Dieses habe ich bereits vorgestellt. Sicher ist ein offener SSH Port nur bedingt. Ich zeige euch hier wie man den Zugriff noch sicherer macht.
SSH Zugriff sicherer machen
Standardmäßig greift man mit SSH über den Port 22 zu. Siehe dazu diese Tabelle mit allen Standardports. Für den Zugriff benötigt man neben der IP Adresse (oder den Domain Namen) noch Benutzernamen und Passwort. Auf Unix/Linux Systemen bekommt man durch das folgende Kommando SSH Zugriff:
ssh pi@192.168.1.4
danach folgt eine Passwortabfrage. Beim Raspberry Pi ist in der Standardkonfiguration einem Angreifer der Port und der Benutzername bekannt. Die IP Adresse oder die Domain hat er auch, diese greift er an. Der Angreifer kann nun so lange Passwörter ausprobieren bis eines passt.
Ich zeige euch wie ihr nun den Zugriff über SSH Schritt für Schritt sicherer macht.
Schritt 1: SSH Port ändern
90 Prozent der Angreifer kann man schon dadurch abwehren indem man einfach den SSH Port ändert. Viele Crack Tools scannen nach Standardports und würden somit gar keine weitere Aktion durchführen. Den SSH Port kann man in der SSH Konfigurationsdatei ändern. Diese öffnet man mit:
sudo nano /etc/ssh/sshd_config
gleich in der 5. Zeile ist der Port mit: Port 22 definiert. Wir tragen hier nun einen neuen Port ein zB:
Port 33586
Die Portnummer kann frei gewählt werden, darf aber kein bereits benutzter Port sein und sollte auch kein Standardport sein. Am besten etwas zwischen 1024 und 64000 eingeben. Wichtig: merken! Sobald der SSH Daemon neu gestartet wurde kann man nicht mehr über den Port 22 auf den Raspberry Pi zugreifen. Es besteht die Gefahr, dass man sich aus dem eigenen System aussperrt. Der Daemon kann so neu gestartet werden:
sudo /etc/init.d/ssh restart
Schritt 2: Benutzer ändern
Beim Raspberry Pi gibt es den Standardbenutzer „pi“ mit seinem Standardpasswort „raspberry“. Es ist sehr klug das Passwort zu ändern, ideal wäre es aber, wenn man gleich einen ganz neuen Benutzer anlegt. Einen neuen Root Benutzer kann man beispielsweise so anlegen:
sudo useradd -o -u 0 -g 0 -m piroot
und ein Passwort kann man so festlegen
sudo passwd piroot
Wahlweise kann man natürlich auch einen ganz normalen Benutzer anlegen. Der Benutzer „pi“ ist ja auch kein root Benutzer.
Im nächsten Teil zeige ich noch ein paar fortschrittliche Methoden um unbefugten keinen Zugriff zum System über SSH zu ermöglichen.
Unter Debian startet man Dienste so neu:
sudo service ssh restart
Die meisten Dienste vertragen dabei:
start, stop, restart, reload, status