Raspbian PIXEL aus Security-Gründen angepasst – kein SSH per Standard mehr

11 Kommentare Autor: Jürgen (jdo)

Raspbian ist bekanntlich das offiziell unterstützte Betriebssystem für den Raspberry Pi. Es basiert auf Debian GNU/Linux Jessie und dem OS wurde kürzlich die neue Desktop-Oberfläche PIXEL spendiert. Beim neuesten Update werden allerdings nicht nur die üblichen Bugs bereinigt. Es gibt wichtige Änderungen, die Fans und Anwender des Raspberry Pis wissen sollten.

Warum die Änderungen

Weil sie ganz einfach notwendig sind. Der Raspberry Pi soll es dem Anwender so angenehm wie möglich machen. Es ist zum Beispiel ein Standard-Konto vergeben und pi / raspberry sind Login und Passwort. Doof ist, wenn das so bleibt und irgendwer Zugriff auf den Raspberry Pi bekommt. Der Zugriff ist sogar da, denn per Standard war bisher auch SSH aktiviert. Der einzige Schutz war in diesem Fall das eigene Netz, sollte der Raspberry Pi hinter Deinem Home Router betrieben und der entsprechende Port nicht durchgeleitet werden.

Nun ist es aber auch so, dass der Raspberry Pi sehr attraktiv für IoT-Projekte (Internet of Things / Internet der Dinge) ist. Sollte der Winzling über das Internet erreichbar sein (vielleicht läuft eine NextCloud oder ownCloud darauf) und Du hast das Passwort nicht geändert, dann ist diese Himbeere ein gefundenes Fressen. Selbstverständlich hat der Nutzer pi via sudo auch noch root-Rechte … ich muss an dieser Stelle gar nicht mehr weiter argumentieren.

Was hat sich denn nun geändert?

Zunächst einmal wird ab sofort SSH bei Raspbian mit PIXEL nicht mehr per Standard aktiviert sein. Damit ist der Remote-Zugriff unterbunden und das ist auch gut so. Wer SSH bewusst wieder aktiviert, der sollte dann auch an das Passwort denken – es gehört sich geändert in diesem Fall. Künftig wirrst Du sogar gewarnt, wenn SSH aktiviert ist und das Standard-Passwort (raspberry) nicht geändert wurde. Die Warnung folgt zwar derzeit nur auf Englisch, aber password versteht man auf jeden Fall. Dieser Schritt von den Entwickler zum Schutz unbedarfter Anwender und zur Verbesserung der Security ist auf jeden Fall zu begrüßen.

Warnung! Du hast SSH aktiviert, aber das Passwort nicht geändert.

Warnung! Du hast SSH aktiviert, aber das Passwort nicht geändert.

Hinweis: Ob SSH bei Raspbian Lite ebenfalls per Standard deaktiviert ist, weiß ich nicht. Das müsste man ausprobieren.

Das Passwort änderst Du über die Kommandozeile mit dem Befehl passwd. Tippe es einfach mal rein, hau auf Enter und ändere einfach Dein Passwort. Oder Du verwendest wieder das GUI Raspberry-Pi-Konfiguration.

Via Raspberry-Pi-Konfiguration SSH aktivieren und deaktivieren

Via Raspberry-Pi-Konfiguration SSH aktivieren und deaktivieren

Wer SSH aktivieren möchte, kann das via raspi-config (Kommandozeile) machen, über das GUI Raspberry-Pi-Konfiguration in Pixel oder mit einer Datei. Legst Du eine Datei (Inhalt egal) ssh in das Verzeichnis /boot/, dann ist der Service SSH beim Starten aktiviert.

Das neueste Abbild ist auf der Download-Seite des Projekts verfügbar. Bestehende Jessie-Installationen aktualisierst Du nach gewohnter Debian-Art:

To update your existing Jessie image with all the bug fixes and these new security changes, type the following at the command line:

  • sudo apt-get update
  • sudo apt-get dist-upgrade
  • sudo apt-get install -y pprompt (das installiert ein kleines Paket, das vermutlich für die Passwort-Warnung zuständig ist)

Wie siehst Du die Sache? Ist die Bequemlichkeit zurecht Opfer der Security-Maßnahme geworden?

Nette Pi-Konstellation

Suchst Du ein VPN für den Raspberry Pi? NordVPN* bietet einen Client, der mit Raspberry Pi OS (32-Bit / 64-Bit) und Ubuntu für Raspberry Pi (64-Bit) funktioniert.




 Alle Kommentare als Feed abonnieren

11 Kommentare zu “Raspbian PIXEL aus Security-Gründen angepasst – kein SSH per Standard mehr”

  1. Anonym says:

    So wie ich dass verstehe ist das nur bei dem Pixel Image so und bei der Jessie Lite Variante ist SSH weiterhin aktiviert.

    Oder sehe ich dass falsch?

    • jdo says:

      Ich bin mir ehrlich gesagt nicht ganz sicher. Das müsste man ausprobieren. Beide wurden am 25.11. aktualisiert ... hmmm ... habe gerade keine Zeit, das zu testen ... 🙂

  2. Didi says:

    Auch nach der Aktualisierung mit obigen Befehlen kann ich sowohl per Kommandozeile als auch mit Putty wie bisher auf mein PIs zugreifen. Scheinbar wurde ssh nicht deaktiviert. Es erscheint auch keine Warnung, obwohl ssh aktiviert ist und das Passwort nicht geändert wurde.

    • jdo says:

      Du verwendest Raspbian mit Pixel? Bei mir geht das - der Screenshot ist von mir. Wenn SSH aktiviert war, dann deaktiviert das Update SSH natürlich nicht. Aber die Warnung sollte eigentlich kommen ... hmmm ...

  3. Didi says:

    Ja, ich verwende Raspbian mit Pixel. SSH war aktiviert. Ich ging von einer Deaktivierung uas. Wie gesagt, erscheint die Warnmeldung nicht. Ist ja auch wurscht. Hauptsache, die Maschinen funktionieren.
    Nebenbei: Wenn ich den Blue Beach Club laut Impressum aufrufe, erscheint "forbidden". Warum? http://www.bluebeachclub.com/

  4. Didi says:

    Und die richtige lautet wie?

    • jdo says:

      Oooops, sorry, das ist die richtige Website. Aber ich habe damit nichts zu tun und bin auch nicht deren Admin. Das ist lediglich meiner Adresse für die Post, weil es hier nicht wirklich Straßennamen gibt und da außerdem immer jemand zuhause ist plus ich nur über die Straße wohne. Ich ruf die besser mal an, ob das Absicht ist.

  5. Didi says:

    Schade. Ich hatte gehofft, das Phantom JDO bekäme vielleicht ein Gesicht. Pustekuchen.

  6. Didi says:

    Ich hatte damals bei der Installation ein eigenes Passwort gewählt. Könnte es sein, dass bei der Erstinstallation ein vorgegebenes Passwort vergeben wird -nämlich "raspberry" und dann, wenn dieses nicht geändert wird, die Warnung erscheint? Siehe auch https://linuxundich.de/raspberry-pi/ssh-auf-dem-raspberry-pi-aktivieren-jetzt-unter-raspian-noetig/

    • jdo says:

      Ja klar, es geht nur um das Standard-Passwort Raspberry ... ich ändere das, damit es klarer wird.