Po zakupie Raspberry Pi i instalacji systemu warto zadbać o bezpieczeństwo swojej malinki. Nie jest to aż tak ważne, gdy korzystamy z sieci domowej, co innego, gdy mowa o sieci publicznej lub przekierowywaniu portów z Internetu.
Oto 6 praktycznych porad, dzięki którym możliwe będzie szybkie zabezpieczenie Raspberry Pi.
Poprawa bezpieczeństwa na Raspberry Pi jest podobna do każdego innego urządzenia z systemem Linux. Do podstawowych operacji zwiększających bezpieczeństwo zaliczamy np. używanie silnego hasła lub VPN. Są też bardziej złożone metody, takie jak wykrywanie ataków lub używanie szyfrowania. Warto jednak zacząć od tych najprostszych metod.
6 porad jak zabezpieczyć Raspberry Pi
Oto 6 wskazówek dotyczących bezpieczeństwa, które powinieneś zastosować, aby uzyskać wyższe bezpieczeństwo dla Raspberry Pi (w większości dotyczą one również wszystkich systemów Linux). Postępuj zgodnie z instrukcjami, jeśli chcesz uzyskać wyższy poziom bezpieczeństwa i chronić swoje Raspberry Pi jak profesjonalista.
#1 - Nie używaj auto-loginów ani pustych haseł
Hasła to ważny element ochrony systemu. Po pierwsze: upewnij się, że wszystkie krytyczne punkty dostępu proszą o podanie hasła. Nie używaj auto-logowania i upewnij się, że dodajesz kolejny krok logowania dla każdej aplikacji, do której masz bezpośredni dostęp.
Na przykład, jeśli masz serwer internetowy, upewnij się, że dane osobowe lub strony administracyjne nie są dostępne bez hasła. Upewnij się, że nikt nie używa również pustego hasła na Raspberry Pi. Jeśli masz kilka kont, łatwo jest sprawdzić ich uprawnienia ręcznie. Jeśli masz wiele kont użytkowników, te polecenia mogą pomóc
Wyszukiwanie pustych haseł:
sudo awk -F: '($2 == "") {print}' /etc/shadow
Blokowanie niezabezpieczonych kont:
passwd -l <username>
#2 - Zmiana domyślnego hasła dla pi
Częstym błędem jest pozostawienie domyślnego hasła dla domyślnego użytkownika pi. Każdy, kto już korzystał z Raspberry Pi, będzie znał to hasło. Wiele osób skanuje automatycznie porty SSH i próbuje zalogować się za pomocą kombinacji pi/raspberry. Zmiana domyślnego hasła powinna być pierwszą rzeczą, jaką wykonujemy na nowej instalacji.
To proste! Zaloguj się jako użytkownik pi i wprowadź poniższą komendę:
passwd
#3 - Zatrzymaj niepotrzebne usługi
Na Raspberry Pi często próbujemy wielu projektów dla różnych potrzeb, a to może być zły nawyk dla bezpieczeństwa. Powiedzmy, że zainstalowałeś np. PHPMyAdmin miesiąc temu, aby coś wypróbować, ale już go nie używasz. Może to stworzyć okazję dla atakującego, i otworzyć mu możliwość na dostanie się do Twojego systemu.
Spróbuj zatrzymać lub odinstalować niepotrzebne usługi oraz aplikacje za pomocą poniższych kodów:
Wypisz działające usługi:
sudo service --status-all
Zatrzymaj wybraną usługę:
sudo service <service-name> stop
Jeśli usługa uruchamia się przy starcie systemu, spróbuj:
sudo update-rc.d <service-name> remove
Lub odinstaluj ją całkowicie:
sudo apt remove <service-name>
#4 – Zainstaluj firewall
Firewall pozwala zablokować wszystkie porty oprócz tych, które są potrzebne i filtrować dostęp według IP. Na przykład, można zablokować wszystkie porty i pozwolić jedynie na dostęp SSH z Twojego IP.
Antywirus nie jest obowiązkowy na Raspberry Pi i ogólnie jest to coś nietypowego na systemach Linux, ale firewall jest dobrą praktyką, jeśli utrzymujesz na swojej malince krytyczne usługi. Dobra praktyką jest zainstalowanie iptables, ale może dla początkujących nie jest to najłatwiejsza droga. Dlatego na początku warto zainteresować się ufw (ang. Uncomplicated FireWall), który jest prostszy w użyciu.
Zainstaluj pakiet firewall:
sudo apt install ufw
Pozwól na dostęp do Apache dla każdego:
sudo ufw allow 80
sudo ufw allow 443
Pozwól na dostęp do SSH tylko dla Twojego adresu IP:
sudo ufw allow from 192.168.1.100 port 22
Nie zapomnij zamienić tych wartości na Twoje własne ustawienia.
Możesz uzyskać swój adres IP za pomocą ipconfig (Windows) lub ifconfig (Linux/Mac).
Włącz firewall:
sudo ufw enable
Bądź ostrożny, gdyż włączy to firewalla zarówno teraz, jak i podczas uruchamiania komputera. Jeśli stracisz dostęp do Twojej maszyny, nie będziesz w stanie tego zdalnie naprawić, nawet po ponownym uruchomieniu komputera. Nastąpi konieczność zmiany konfiguracji bezpośrednio na Raspberry Pi.
Aby sprawdzić twoje obecne zasady po włączeniu ufw, użyj następującej komendy:
sudo ufw status verbose
#5 – Użyj VPN
Bardziej radykalną opcją jest dostęp do Raspberry Pi za pomocą VPN, czyli za pomocą wirtualnej sieci prywatnej. VPN pozwala na zdalny dostęp do wszystkich usług na Raspberry Pi, symulując obecność w sieci lokalnej. Wszystkie przepływy między Tobą a Raspberry Pi będą szyfrowane przez silny protokół. Jest to dobra opcja, aby zapobiec otwieraniu wielu portów w Internecie bez zabezpieczeń.
Wybierając dostawcę VPN upewnij się, że dostawca ma dziesiątki serwerów VPN w wielu krajach, dzięki czemu będziesz w stanie połączyć się z dowolnym serwerem w wybranym przez Ciebie kraju. Możesz zainstalować Surfshark VPN, jeden z najbardziej preferowanych serwerów VPN przez użytkowników Raspberry Pi, którzy chcą zabezpieczyć swoją komunikację z malinką.
#6 – Wykonaj backup systemu
Jedną z najgorszych konsekwencji ataku jest utrata danych. Jeśli prawidłowo i regularnie wykonujesz kopie zapasowe swoich plików, będziesz bezpieczny nawet jeśli haker zniszczy Twoją kartę SD. Robienie kopii to jednak nie wszystko – upewnij się, że możesz odczytać swoją kopię zapasową, i że wszystkie Twoje ważne pliki są w środku; w przeciwnym razie jest to bezużyteczne. Dobrą praktyką jest regularne testowanie plików kopii zapasowych.
Dołącz do 20 tysięcy osób, które otrzymują powiadomienia o nowych artykułach! Zapisz się, a otrzymasz PDF-y ze ściągami (m.in. na temat mocy, tranzystorów, diod i schematów) oraz listę inspirujących DIY na bazie Arduino i Raspberry Pi.
To nie koniec, sprawdź również
Przeczytaj powiązane artykuły oraz aktualnie popularne wpisy lub losuj inny artykuł »
Dołącz do 20 tysięcy osób, które otrzymują powiadomienia o nowych artykułach! Zapisz się, a otrzymasz PDF-y ze ściągami (m.in. na temat mocy, tranzystorów, diod i schematów) oraz listę inspirujących DIY z Arduino i RPi.
Trwa ładowanie komentarzy...