SSH ist bei OpenELEC per Standard deaktiviert – bei OSMC aktiviert – das finde ich nicht gut

2 Kommentare Autor: Jürgen (jdo)

Nach der Installation von OpenELEC und OSMC auf einem Raspberry Pi 2 habe ich mehrmals hin und her gebootet und mir einfach die Unterschiede etwas angesehen.

Die größten Unterschiede sind die Standard-Skins und die hausgemachten Tools zur Konfiguration. OpenELEC setzt auf das Standard-Skin von Kodi Confluence und OSMC bringt ein eigenes Skin mit, das sich OSMC nennt.

Die Tools zur Konfiguration des Raspberry Pi gefallen mir bei OSMC eigentlich besser. Hier kann man das Verhalten des Raspberry Pi beeinflussen, ohne die entsprechende TXT-Datei auf der microSD-Karte zu modifizieren. Das birgt aber auch Gefahren, da hier jeder an den Einstellungen spielen kann. Selbst ein Übertakten ist möglich. Anders gesagt ist es denkbar, dass man durch Experimente die Installation an die Wand fährt. Ist nicht so tragisch, muss man eben neu installieren. Beim Übertakten kann aber auch die Lebensdauer des Raspberry Pi 2 negativ beeinflusst werden.

SSH bei OSMC aktiv, bei OpenELEC nicht aktiv

Sehr gewundert habe ich mich bei OSMC, dass der SSH-Zugang per Standard aktiviert ist. Ich finde jetzt den Link nicht mehr aber im Forum von OSMC gibt es eine doch recht lebhafte Diskussion und Security-Bedenken zu diesem Thema.

Das Problem an dieser Stelle ist nur, dass sowohl OSMC als auch OpenELEC für den SSH-Zugriff Standard-Nutzernamen und Passwörter verwenden. Sie lassen sich zwar ändern, wenn man selbst kompiliert oder mit manuellem Aufwand, der für einen normalen Anwender böhmische Dörfer sind. Man muss an dieser Stelle aber beachten, dass Kodi ein Mediacenter sein soll, mit dem alle umgehen können.

Standard-Anmeldeinformationen für SSH-Zugriff bei OpenELEC: Login: root, Passwort: openelec

Standard-Anmeldeinformationen für SSH-Zugriff bei OSMC: Login: osmc, Passwort: osmc

Bei den Entwicklern stellt man sich wohl auf den Standpunkt, dass ein OSMC mit einem Raspberry Pi nicht von außen erreichbar sein sollte und sich damit in einer sicheren LAN-Umgebung befindet. Aus diesem Grund sei es kein Problem, wenn per Standard SSH aktiviert ist. Bei OpenELEC ist SSH, wie bereits erwähnt, nach einer Installation per Standard deaktiviert.

Bei OpenELEC ist SSH per Standard deaktiviert

Bei OpenELEC ist SSH per Standard deaktiviert

Persönlich gebe ich allerdings denen Recht, die das als Security-Problem sehen. Bei diversen Addons oder auch Verbindungen mit Netzlaufwerken hinterlege ich ebenfalls Anmeldenamen und Passwörter. Ist der SSH-Zugriff per Standard aktiviert, erleichtere ich zumindest den Zugriff darauf oder das Extrahieren der relevanten Dateien, mit denen sich dann Blödsinn anstellen lässt. Ich verstehe ehrlich gesagt nicht ganz, warum man sich im OSMC-Lager gegen die Deaktivierung von SSH bei einer Standard-Installation wehrt.

Zu weit hergeholt? Mag sein – das ist aber auch die Argumentation der OSMC-Entwickler. Wer SSH-Zugriff braucht oder haben möchte, der ist meiner Meinung nach schon mehr als fortgeschritten und kann diesen mit Sicherheit auch selbst aktivieren (die drei Klicks schafft man). An dieser Stelle sollte man nach dem Prinzip verfahren, alles per Standard zu deaktivieren, was für den normalen Betrieb nicht relevant ist. SSH ist für das Betreiben des Mediacenters Kodi auf einem Raspberry Pi 2 nicht zwingend erforderlich.

Ein normaler Anwender kommt vielleicht nicht einmal auf die Idee und sieht nach, ob SSH aktiviert ist – möglicherweise weiß der Nutzer nicht einmal, was das ist. Somit ist ein potenzieller Kanal in die Multimedia-Station offen, dessen sich die Anwenderin oder der Anwender nicht bewusst ist. An dieser Stelle geht meiner Meinung nach der Schutz vor und SSH gehört sich per Standard deaktiviert.

Sollte jemand für Bekannte, Verwandte oder auch sich selbst ein Mediacenter auf einem Raspberry Pi 2 mit OSMC aufsetzen, rate ich zum Deaktivieren von SSH, sollte man dies nicht benötigen.

My OSMC - Services

My OSMC – Services

SSH läuft per Standard

SSH läuft per Standard

OpenELEC bietet SSH ohne Passwort

Aktiviere ich bei OpenELEC SSH, habe ich außerdem die Möglichkeit, SSH mit Passwort zu deaktivieren. Was? Wie bitte?

Man würde an dieser Stelle ein RSA-Schlüsselpaar generieren und nur Leute im Besitz des öffentlichen Schlüssel könnten sich mit OpenELEC via SSH verbinden. Das ist nicht nur sicherer, sondern umgeht auch das Problem mit dem Standard-Passwort unter OpenELEC.

Sollte jemand unbedingt per SSH auf sein Mediacenter zugreifen müssen, wäre das die sicherste Lösung. Wie das funktioniert, steht unter anderem im Wiki von OpenELEC beschrieben.

Das Prinzip mit den Schlüsselpaaren (Private Key / Public Key) ist immer gleich. Damit führe ich zum Beispiel ein Backup via rsync und SSH auf mein Synology durch, ohne ein Passwort eingeben zu müssen.

Fazit

Als persönliches Fazit würde ich sagen, dass mir OSMC mehr Möglichkeiten bietet. Allerdings halte ich OpenELEC für Anfänger geeigneter. Man kann weder die Boot-Parameter des Raspberry Pi 2 beeinflussen, noch ist meine Kodi-Instanz nicht per Standard via SSH erreichbar.

Ich bevorzuge ehrlich gesagt OSMC als Mediacenter auf dem Raspberry Pi, da es mir mehr Möglichkeiten gibt und ich flexibler bin. Das gilt im Hinblick auf die Konfiguration des Raspberry Pi 2 selbst. Allerdings habe ich SSH deaktiviert.

Nette Pi-Konstellation

Suchst Du ein VPN für den Raspberry Pi? NordVPN* bietet einen Client, der mit Raspberry Pi OS (32-Bit / 64-Bit) und Ubuntu für Raspberry Pi (64-Bit) funktioniert.




 Alle Kommentare als Feed abonnieren

2 Kommentare zu “SSH ist bei OpenELEC per Standard deaktiviert – bei OSMC aktiviert – das finde ich nicht gut”

  1. MichaMEG says:

    Zu: "Das Problem an dieser Stelle ist nur, dass sowohl OSMC als auch OpenELEC für den SSH-Zugriff Standard-Nutzernamen und Passwörter verwenden, die sich nicht ändern lassen. "

    Bei OSMC kann man über ssh auch das Passwort für osmc bzw. root ändern!
    So habe ich es gemacht ...