image

Beveiligingsupdate Raspberry Pi schakelt ssh uit

woensdag 30 november 2016, 17:21 door Redactie, 19 reacties

Vanwege de recente aanvallen op Internet of Things-apparaten hebben de makers van de populaire minicomputer Raspberry Pi een update voor het besturingssysteem uitgebracht die onder andere ssh uitschakelt. Standaard stond ssh altijd ingeschakeld, zodat het eenvoudig was voor gebruikers om op afstand de nieuwste versie van het Raspbian-besturingssysteem te installeren.

"Helaas maken hackers steeds vaker van dit soort gaten in andere producten gebruik om het apparaat over te nemen", zegt Simon Long, ontwerper van de Pixel-desktopomgeving die op Raspbian draait. Volgens Long was de standaard ssh-toegang over het algemeen genomen geen probleem voor de Raspberry Pi. Als de minicomputer in een thuisnetwerk staat zal die waarschijnlijk niet voor het internet toegankelijk zijn. In het geval de Pi op een openbaar netwerk is aangesloten heeft Long de hoop dat de gebruiker voldoende weet om het standaard wachtwoord te wijzigen of ssh uit te schakelen.

Vanwege de groeiende dreiging is deze aanpak echter niet meer houdbaar, gaat Long verder. Daarom zijn er in de nieuwste versie van het besturingssysteem verschillende aanpassingen op veiligheidsgebied doorgevoerd. De belangrijkste is dat ssh voortaan standaard staat uitgeschakeld. "Het onderwerp heeft voor veel discussie op het Pi-hoofdkantoor gezorgd. De relaxte aanpak die we tot nu toe hadden was er voor goede redenen en we wilden die niet graag veranderen. Toch zijn de nu doorgevoerde veranderingen nodig om onze gebruikers tegen potentiële dreigingen zowel nu als in de toekomst te beschermen en we hopen dat jullie hiervoor begrip hebben", besluit Long.

Reacties (19)
30-11-2016, 18:42 door Anoniem
Dit is een grap, toch?
30-11-2016, 18:57 door Anoniem
Door Anoniem: Dit is een grap, toch?

Soms moet je toch even aangeven wat je bedenkingen zijn. Voor de goede orde, de update zet ssh NIET uit indien deze aanstaat, de update houdt in dat ssh "out of the box" niet enabled is.
30-11-2016, 19:06 door Anoniem
Door Anoniem: Dit is een grap, toch?

Waarom een grap, prima zet. Wil je perse ssh gebruiken, dan kan je het met een vinkje aanzetten.
Steeds meer noobs gebruiken een pi voor allerlei doeleinden, dus hoe veiliger direct na installatie des te beter.
30-11-2016, 19:21 door Anoniem
eindelijk een leverancier die z'n verantwoordelijkheid neemt! HULDE.
30-11-2016, 20:03 door Anoniem
Door Anoniem: Dit is een grap, toch?

Nee, hoezo? Licht je gevoel eens toe :]
30-11-2016, 20:36 door Anoniem
Door Anoniem:
Door Anoniem: Dit is een grap, toch?

Waarom een grap, prima zet. Wil je perse ssh gebruiken, dan kan je het met een vinkje aanzetten.

Een vinkje aanzetten?? Ik heb diverse Raspberry Pi's maar ik heb er nog nooit een scherm/toetsenbord/muis
aan gehad. Ik heb zelfs vele PI's in beheer via netwerk die ik fysiek nooit in handen gehad heb. Iemand heeft
een SD card image geinstalleerd en ik kan hem remote via SSH beheren. Uiteraard met een ander dan default
wachtwoord, en de meesten achter NAT en met een VPN benaderbaar.
01-12-2016, 08:19 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Dit is een grap, toch?

Waarom een grap, prima zet. Wil je perse ssh gebruiken, dan kan je het met een vinkje aanzetten.

Een vinkje aanzetten?? Ik heb diverse Raspberry Pi's maar ik heb er nog nooit een scherm/toetsenbord/muis
aan gehad. Ik heb zelfs vele PI's in beheer via netwerk die ik fysiek nooit in handen gehad heb. Iemand heeft
een SD card image geinstalleerd en ik kan hem remote via SSH beheren. Uiteraard met een ander dan default
wachtwoord, en de meesten achter NAT en met een VPN benaderbaar.

Kan er een scherm aan een pi? ;)
SD flashen, booten en inloggen om het password aan te passen.

Standaard uit, ik snap het, maar blij ben ik er zeker niet mee...
Kan je weer een keyboard en scherm gaan zoeken :(
01-12-2016, 09:25 door Anoniem
Sommige mensen zijn zo dom, meh ongelooflijk.
01-12-2016, 09:32 door Anoniem
Standaard uit, ik snap het, maar blij ben ik er zeker niet mee...
Kan je weer een keyboard en scherm gaan zoeken :(

In de aankondiging staat dit hierover. Dat is best te doen:

"The boot partition on a Pi should be accessible from any machine with an SD card reader, on Windows, Mac, or Linux. If you want to enable SSH, all you need to do is to put a file called ssh in the /boot/ directory. The contents of the file don’t matter: it can contain any text you like, or even nothing at all. When the Pi boots, it looks for this file; if it finds it, it enables SSH and then deletes the file. SSH can still be turned on or off from the Raspberry Pi Configuration application or raspi-config; this is simply an additional way to turn it on if you can’t easily run either of those applications."
01-12-2016, 09:32 door Anoniem
Kan er een scherm aan een pi? ;)

Ja, via HDMI, dat is een van gebruikstoepassingen van dit bordje.
01-12-2016, 09:56 door Anoniem


In de aankondiging staat dit hierover. Dat is best te doen:

"The boot partition on a Pi should be accessible from any machine with an SD card reader, on Windows, Mac, or Linux. If you want to enable SSH, all you need to do is to put a file called ssh in the /boot/ directory. The contents of the file don’t matter: it can contain any text you like, or even nothing at all. When the Pi boots, it looks for this file; if it finds it, it enables SSH and then deletes the file. SSH can still be turned on or off from the Raspberry Pi Configuration application or raspi-config; this is simply an additional way to turn it on if you can’t easily run either of those applications."

Kijk, dat is nuttig om te weten!
01-12-2016, 12:52 door Anoniem
Door Anoniem:
Kan er een scherm aan een pi? ;)

Ja, via HDMI, dat is een van gebruikstoepassingen van dit bordje.


LOL
02-12-2016, 09:16 door linuxpro
Wat ontzettend dom. SSH is de enige veilige manier om te kunnen connecten en dan ga je dat uitzetten... beter was geweest om authenticatie via user/password te disablen (alleen met ssh key inloggen dus) of om connecties alleen vanaf het eigen netwerkt toe te staan of een veiliger password beleid af te dwingen. Dit is gewoon ontzettend dom en onhandig als je je pi niet op je buro maar ergens anders hebt weggewerkt of hebt liggen.
02-12-2016, 09:47 door Anoniem
Door linuxpro: Wat ontzettend dom. SSH is de enige veilige manier om te kunnen connecten en dan ga je dat uitzetten... beter was geweest om authenticatie via user/password te disablen (alleen met ssh key inloggen dus) of om connecties alleen vanaf het eigen netwerkt toe te staan of een veiliger password beleid af te dwingen. Dit is gewoon ontzettend dom en onhandig als je je pi niet op je buro maar ergens anders hebt weggewerkt of hebt liggen.
Raspbian is gewoon Debian met aanpassingen voor de RPi. Je kan sshd net zo makkelijk toevoegen als aan welke Linux-installatie dan ook, en regelen dat je een ssh-key gebruikt is ook niet anders.

Het punt hier is dat ze het verspreiden als een image van een volledig geïnstalleerd systeem. Een wachtwoord is dan voor iedereen gelijk, maar een ssh-key zou net zo goed voor iedereen gelijk zijn en hetzelfde probleem geven. En de ssh-key die je gebruikt is op een andere computer gegenereerd dus kan je die niet bij de eerste opstart automatisch aanmaken (en als je het toch op de RPi aanmaakt moet je weer iets buiten ssh om van de RPi afhalen). Wat ze ook doen, de gebruiker moet hoe dan ook een handeling verrichten om de ssh-toegang op een veilige manier te activeren. Dan is wat ze nu doen niet slechter dan andere oplossingen, lijkt me.
02-12-2016, 09:47 door Anoniem
Door linuxpro: Wat ontzettend dom. SSH is de enige veilige manier om te kunnen connecten en dan ga je dat uitzetten... beter was geweest om authenticatie via user/password te disablen (alleen met ssh key inloggen dus) of om connecties alleen vanaf het eigen netwerkt toe te staan of een veiliger password beleid af te dwingen. Dit is gewoon ontzettend dom en onhandig als je je pi niet op je buro maar ergens anders hebt weggewerkt of hebt liggen.

Niet kunnen connecten is nog veiliger. Nu moet je er zelf voor kiezen om de mogelijkheid tot connecten aan te zetten. Een bewuste keuze is beter dan dat er (ongemerkt) voor jou gekozen wordt dat je SSH aan wil zetten.

Ik veronderstel overigens dat de andere poorten standaard dicht zitten (TELNET, FTP etc).
02-12-2016, 10:43 door Anoniem
Door Anoniem:
Door linuxpro: Wat ontzettend dom. SSH is de enige veilige manier om te kunnen connecten en dan ga je dat uitzetten... beter was geweest om authenticatie via user/password te disablen (alleen met ssh key inloggen dus) of om connecties alleen vanaf het eigen netwerkt toe te staan of een veiliger password beleid af te dwingen. Dit is gewoon ontzettend dom en onhandig als je je pi niet op je buro maar ergens anders hebt weggewerkt of hebt liggen.

Niet kunnen connecten is nog veiliger. Nu moet je er zelf voor kiezen om de mogelijkheid tot connecten aan te zetten. Een bewuste keuze is beter dan dat er (ongemerkt) voor jou gekozen wordt dat je SSH aan wil zetten.

Ik veronderstel overigens dat de andere poorten standaard dicht zitten (TELNET, FTP etc).

Poorten zitten over het algemeen niet standaard dicht maar juist open, het is juist dat er geen daemon/service staat te luisteren wat de zaak veilig maakt en dat is wat ze nu Raspbian goed geregeld hebben.
02-12-2016, 11:09 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Dit is een grap, toch?

Waarom een grap, prima zet. Wil je perse ssh gebruiken, dan kan je het met een vinkje aanzetten.

Een vinkje aanzetten?? Ik heb diverse Raspberry Pi's maar ik heb er nog nooit een scherm/toetsenbord/muis
aan gehad. Ik heb zelfs vele PI's in beheer via netwerk die ik fysiek nooit in handen gehad heb. Iemand heeft
een SD card image geinstalleerd en ik kan hem remote via SSH beheren. Uiteraard met een ander dan default
wachtwoord, en de meesten achter NAT en met een VPN benaderbaar.

Als je al toch een SD card image hebt en daar een ander root wachtwoord op hebt geconfigureerd, is het ook geen probleem om op dat image ssh aan te zetten.

Als het zo is dat iemand een standaard image in de PI steekt en dat jij dan remote inlogt om het wachtwoord aan te passen, dan wil ik niet dat jij PI's in mijn netwerk beheert. Er komen constant scanners langs die op zoek zijn naar PI's met default wachtwoord. Met hun automatische scripts hebben zij een nieuw root-account aangemaakt voor jij handmatig bent ingelogd en daar het standaard root wachtwoord hebt gewijzigd.

Peter
02-12-2016, 11:49 door Illnl - Bijgewerkt: 02-12-2016, 11:50
Door Anoniem:


In de aankondiging staat dit hierover. Dat is best te doen:

"The boot partition on a Pi should be accessible from any machine with an SD card reader, on Windows, Mac, or Linux. If you want to enable SSH, all you need to do is to put a file called ssh in the /boot/ directory. The contents of the file don’t matter: it can contain any text you like, or even nothing at all. When the Pi boots, it looks for this file; if it finds it, it enables SSH and then deletes the file. SSH can still be turned on or off from the Raspberry Pi Configuration application or raspi-config; this is simply an additional way to turn it on if you can’t easily run either of those applications."

Kijk, dat is nuttig om te weten!

Inderdaad, dus een fake landing page maken, dan een "update" file of applicatie aanbieden voor de pi en mensen zelf hun SSH laten activeren.

Het is dat een pi op bepaalde groepen gebruikers is gericht en die weten wat ze ermee moeten doen, echter denk eens aan al die devices die op een pi zijn gebouwd en nu ergens onder bv iemand zijn aquarium aan het draaien zijn?
Dit gaat dus nog fun worden binnenkort!
02-12-2016, 13:10 door Anoniem
Net een kaartje gemaak, de boot partitie gemount nadat ik het image erop gezet had.
een 'touch ssh' gedaan en vervolgens geboot in een pi.

Zowel de GUI als een ssh login geven nu:

SSH is enabled and the default password for the 'pi' user has not been changed.
This is a security risk - please login as the 'pi' user and type 'passwd' to set a new password.


Zouden meer 'apparaten' moeten doen, eventueel nog een tijdslot aanhangen zodat je binnen x tijd na het booten het password veranderd moet hebben omdat anders ssh/services weer disabled worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.