Raspbian deaktivoval SSH, Raspberry Pi bylo snadnou kořistí botnetů

Roman Bořánek

30. 11. 2016

20 nových názorů

Raspbian, oficiální distribuce pro Raspberry Pi, před pár dny vyšla ve verzi 4.4. Teď vývojáři vysvětlují, co se vlastně změnilo – ve výchozím stavu už není aktivní protokol SSH (týká se pouze varianty Pixel). Důvodem jsou rostoucí útoky na podobná malá zařízení, která se pak stávají součástí botnetů. A jelikož Raspbian měl výchozí účet s možností využít sudo a otevřený port pro SSH, převzetí kontroly nad Raspberry Pi bylo relativně snadné.

Pro zájemce je k dipozici nová možnost aktivovat SSH ještě před nabootováním systému, stačí do adresáře /boot vložit soubor nazvaný ssh. V již běžícím systému lze SSH aktivovat klasicky přes jednoduchý konfigurační nástroj raspi-config. Systém dále bude uživatele s aktivním SSH při každém spuštění nabádat, aby změnili výchozí heslo, pokud tak ještě neučinili.

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

30. 11. 2016 23:33

balki (neregistrovaný)

Hlavny problem raspbiany je default pouzivatel
rpi s heslom raspbian.

Default pouzivatelia by sa nemali robit.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
30. 11. 2016 23:34

balki (neregistrovaný)

Oprava
user je pi heslo raspberry
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 12. 2016 0:24

Ondrej (neregistrovaný)

njn jenze raspbian se neinstaluje, ale jen nahrava jiz vytvoreny image,...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 12. 2016 0:48

robotron (neregistrovaný)

Aha, takze neni mozny mount -oloop a vlozeni hesla do passwd? Coz by slo i vhodnym pripravnym skriptem zpohodlnit, i kdyz v shellu je to tak na 3 prikazy.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 12. 2016 1:15

Jarda_P

Obavam se, ze mezi usery RPi je prilis mnoho takovych, kteri mount -loop nerozdychaji. Ostatne to ani neni treba, stacilo by to vlozit jiz na nakopirovanou kartu.

Reseni pomoci povolovaciho souboru je asi schudnejsi, akorat netusim, proc to musi byt zrovna soubor v /boot a ne radsi v /etc/default, kam se obvykle davaji soubory, kde se pomoc yes/no povoluje start sluzby.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 12. 2016 1:39

SpaceExplo (neregistrovaný)

protoze /boot je FAT32 a tedy pristupnej i z Windows
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 12. 2016 9:18

Jarda_P

Pravda. Ja si tak zvykl na to, ze na Linuxu namontuju kde co, ze zapominam, ze Widle umi namontovat jen tak asi tri FS.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 12. 2016 1:42

Zero (neregistrovaný)

proc to musi byt zrovna soubor v /boot a ne radsi v /etc/default, kam se obvykle davaji soubory, kde se pomoc yes/no povoluje start sluzby.
Odpoved:
Pro zájemce je k dipozici nová možnost aktivovat SSH ještě před nabootováním systému, stačí do adresáře /boot vložit soubor nazvaný ssh.
Cize ten /etc este nemusi byt (a asi ani nebude) namountovany...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 12. 2016 2:01

nobody (neregistrovaný)

Cize ten /etc este nemusi byt (a asi ani nebude) namountovany...
pri pristupu na kartu z GNU/Linux nebo OSX, tedy napr. hned po nakopirovani image na kartu, samozrejme dostupny je, zvolene reseni je jen kvuli pristupnosti z Windows...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 12. 2016 1:54

nobody (neregistrovaný)

reseni je samozrejme naprosto snadne, pri prvnim prihlaseni uzivateli podstrcit dialog pro zmenu hesla...
tam to ma udelane Armbian, bez zmeny hesla (prvnostni prihlaseni v konzoli) ani nedovolil pokracovat dale... Armbian s preinstalovanym desktopem nevim, mam desku pro kterou delaj jen server verzi...

proc to musi byt zrovna soubor v /boot a ne radsi v /etc/
v /boot je to naopak logicke, boot oddil je vfat, /etc v ramci rootfs je na druhem oddilu v extX, aby to mohl nastavit i uzivatel Windows systemu (a tech je s RPi opravdu mnoho), tak musi mit nativni moznost pristoupit na oddil...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 12. 2016 1:57

robotron (neregistrovaný)

Ostatne to ani neni treba, stacilo by to vlozit jiz na nakopirovanou kartu.

Aha, ja myslel, ze / bude implicitne nakej ramdisk a ze bych tudiz -oloopoval ten rd img. Pokud se to da upravit po vlozeni karty rovnou, pak skutecne nechapu, v cem je jednodussi vytvareni nakejch povolovacich souboru (nerikam, muze to bejt dobrej doplnek).
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 12. 2016 9:21

Jarda_P

Jak uz uvedle predrecnici, potiz je v tom, ze rada uzivatelu RPi jinak pouziva Widle. A Widle jsou pricinou vseho zla.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 12. 2016 9:29

pcdr m (neregistrovaný)

Ale hadate se tu jako by to jeste nebylo vyresene :)

Nechapu, proc se vlastne takove pitomosti resi. Jak to poprve bootne, automaticky zmenim heslo. Pokud ne a pripojim to na net, mel bych byt za nasledky zodpovedny.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 12. 2016 9:54

jaromrax

> Nechapu, proc se vlastne takove pitomosti resi.

Protoze me to, ze je soucasti botnetu vadit nemusi a nasledky poneses ty, az si botnet na RPi uvedomi sama sebe.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 12. 2016 9:31

Pan Hufnágl (neregistrovaný)

No dobře, já si to heslo jdu tedy změnit :-P
passwd -> ToJeVotrava
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 12. 2016 10:00

jaromrax

Instalujete obcas RPi nekdo? Vy jste si vsimli, ze sshd je defaultne zapnute? Ja ne. A co s tim ma co delat PIXEL?
Asi udelam jednu vec, git archiv s verejnymi klici, naimportuju do pi/.ssh/ a zakazu hesla v /etc/
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 12. 2016 21:36

Jenda (neregistrovaný)

> Instalujete obcas RPi nekdo?

Ano, často.

> Vy jste si vsimli, ze sshd je defaultne zapnute?

Ano, samozřejmě. Je to jediný způsob, jak se k němu připojuji (teda jednou jsem to musel udělat i po sériáku, když jsem systém svojí vinou rozbil tak, že nenajela síť). To mám jako někde shánět HDMI monitor a USB klávesnici? A jak na něj potom mám dostávat soubory a jak to ladit jinak než po SSH?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 12. 2016 14:17

Admik (neregistrovaný)

A to som vcera dd-ckoval novy image na kartu a som sa cudoval, preco nejde ssh. Teraz uz viem. Zial, nemal som monitor a ani moznost konzole. Takze som hadal len naslepo.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 12. 2016 17:23

MaReK Olšavský

Zlatý podporovatel

Přesně, pokud mi RPi jede bez monitoru/klavesnice (prostě se stará o nějaký balík služeb), tak je to v ...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 12. 2016 4:12

D-A-S (neregistrovaný)

V tom pripade ale nema cenu pouzivat image s pixelem. Pokud jsem spravne cetl, na image bez pixelu ssh je. Nepredpoklada se, ze pro usera s pixelem bude primarni vstup ssh a jestli ano, da se snadno spustit.
- Zobrazit celé vlákno

Zasílat nově přidané názory e-mailem

Roman Bořánek

Bývalý redaktor serveru Root.cz, dnes produktový manažer a konzultant se zaměřením na Bitcoin a kryptoměny.

Nálepky: