Warnung über aktiviertes SSH nach dem Login

Sollte der Standardbenutzer pi entfernt worden sein, ohne zuvor das Passwort zu ändern, kommt es immer noch zu folgender Meldung beim Login: SSH is enabled and the default password for the ‚pi‘ user has not been changed. This is a security risk – please login as the ‚pi‘ user and type ‚passwd‘ to set a […]

Weiterlesen

A+ beim SSL Server Test erreichen

Da bei den Sicherheitseinstellung des Webservers der im Artikel nginx als Webserver installieren eingerichtet wurde, auf der Seite SSL Server Test nur eine Bewertung von „B“ rauskommt, können noch ein paar Optimierungen an den Einstellungen vorgenommen werden, dass hier die Bewertung von „A+“ gesteigert wird. Bei einigen Hostern oder auch Webservern die schön länger nicht […]

Weiterlesen

Sichere Host-Keys generieren

Im Artikel Hardware-Zufallszahlengenerator verwenden wurde eine weitere Quelle für die Entropie hinzugefügt. Damit kannst du jetzt bessere und sicherere Hosts-Keys für deinen Raspberry PI erstellen. Da diese Host-Keys beim ersten Start des Raspberry PI generiert wurden oder sogar im Image des Betriebsystems enthalten waren sind diese auch nach Meinung Anderer nicht ausreichend sicher. Alte Host-Keys […]

Weiterlesen

Hardware-Zufallszahlengenerator verwenden

Für die Verschlüsselung per z.B. von HTTPS, die Generierung des Private-Keys oder von Session-Ids werden Zufallszahlen benötigt. Je mehr Verschlüsselt werden soll umso mehr Zufall wird benötigt. Die Menge an Zufallszahlen die bereitgestellt werden kann wird Entropie genannt. Linux verwendet hierfür gewöhnlich den IO (Festplattenzugriffe) und die Eingaben von Tastatur und Maus. Server hat of […]

Weiterlesen

HTTPS mit Letsencrypt einrichten

Der Webserver nginx den wir im Artikel nginx als Webserver installieren eingerichtet haben jetzt auch durch den Externen Hostnamen per DDNS aus dem Internet erreichbar ist, soll die Datenübertragung verschlüsselt werden. Dadurch kann der Inhalt der Seiten nicht vom Internetanbieter oder WLAN-Betrieber mitgelesen oder verändert werden. So gab es schon Internetanbieter, die Werbung in fremde […]

Weiterlesen

Authentifizierung mit SSH ohne Passwort

Jedesmal ein sicheres und langes Passwort bei der Verbindung mit dem Raspberry PI per SSH eingeben zu müssen kann auf Dauer ganz schön nervig sein. Dafür gibt es mit der Public-/Private-Key-Authentifizierung eine einfache Lösung und vor allem zum Passwort auch noch deutlich sicherer vor Angriffen wie Brute-Force. Vor allem bei Servern die vom Internet aus […]

Weiterlesen

Standardbenutzer „pi“ entfernen

Nachdem ein neuer Benutzer mit root-Rechten erstellt wurde (wie das funktioniert habe ich im Artikel Neuen Benutzer erstellen beschrieben), kann der Standardbenutzer pi entfernt werden. Solltest du es irgendwie schaffen, den Benutzer pi zu löschen ohne vorher einen anderen Benutzer angelegt zu haben, der auch root-Rechte hat, so kannst du dich aus deinem eigenen System […]

Weiterlesen

Sicherheitslücke pi

In vielen Tutorials ist immer wieder zu sehen, wie der Standardbenutzer pi mit dem Standardpasswort raspberry verwendet wird. Auch sonst wird es nicht deutlich besser aussehen, da das Passwort nicht beim ersten Login geändert werden muss und da es auch „einfach so“ funktioniert, werden die meisten Benutzer zu bequem sein diese einfache Änderung durchzuführen. Dies […]

Weiterlesen
1