Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 74 reacties
Submitter: iTeV

Simon Long, ux-ontwerper bij de Raspberry Pi Foundation, heeft bekendgemaakt dat in een nieuwe versie van het besturingssysteem Raspbian ssh standaard staat uitgeschakeld. Daarmee moeten de apparaten minder kwetsbaar worden voor aanvallen.

Raspberry Pi logo fpaVolgens Long is ssh handig om een Raspberry Pi op afstand te beheren, bijvoorbeeld als gebruikers het apparaat headless gebruiken zonder muis, scherm of toetsenbord. Maar het standaard inschakelen kan een beveiligingsrisico vormen, omdat de standaardinloggegevens zijn vastgelegd op de gebruikersnaam 'pi' en het wachtwoord 'raspberry'. Een van de veranderingen is dat de gebruiker nu bij het inschakelen van ssh een waarschuwing te zien krijgt als hij geen wijzigingen in de logins aanbrengt.

Het risico is dat een kwaadwillende gebruiker zich van buitenaf toegang kan verschaffen tot het apparaat door gebruik te maken van de standaardlogin. Dit was bijvoorbeeld te zien bij de Mirai-malware, die op deze manier iot-apparaten met zwakke beveiliging, waaronder ip-camera's en digitale videorecorders, infecteerde en toevoegde aan het botnet. Het bleek dat dit botnet in staat is om zware aanvallen uit te voeren.

Long zegt dat er geen reden tot paniek is, omdat niet is gebleken dat er aanvallen plaatsvinden op apparaten met Raspbian. De update dient alleen als een aanvullende beveiligingsmaatregel. Gebruikers die alsnog gebruik willen maken van ssh kunnen dit handmatig inschakelen. Long roept bovendien bestaande gebruikers op om ssh uit te schakelen als zij dit niet gebruiken.

ssh raspberry pi

Moderatie-faq Wijzig weergave

Reacties (74)

Ik begrijp de beslissing wel, maar het is onhandig dat je nu je Pi met toetsenbord moet aansluiten voor je hem kunt gebruiken na een nieuwe OS installatie.
Nee hoor, want je kan de config files aanpassen op de SD kaart. Dus na het image op de kaart zetten.
Hoe dan als ik vragen mag? Ik zie nergens in de image een config file waar iets met ssh instaat (of een ssh file). Momenteel is mijn oplossing om via een Linux stick op te starten en het sd kaartje in te laden om zo het config bestand aan te passen.

Tegen dit problem loop ik al enkele dagen en kom er nu dus achter dat de SSH uitgeschakelt is |:( :P

Edit: Moet toch maar eens verder lezen dan mijn neus lang is

[Reactie gewijzigd door pvink op 1 december 2016 11:31]

Het activeren van SSH zonder dat je heel de raspberry PI aan te sluiten is simpel bestand genaamd ssh in de map /boot (Ook wel de filesysteem die je alleen ziet in Windows) te plaatsen en dan booten.

Raspbian detecteer automatisch het bestand en zet SSH standaard voor je aan.
Er hoeft niks in het bestand te staan.

Ik heb dit gelezen in het artikel wat bij dit bericht staat.
jammer dat ze dan niet gelijk een
username = "username"
password = "password"
authtoken = "$$$keystring$$$"
hasroot = y/n 1/0 true/false

dat zou het instellen van ssh wel direct veel beter maken.

[Reactie gewijzigd door i-chat op 1 december 2016 11:30]

Hebben ze overwogen, maar besloten om niet te doen (username/password zetten via de /boot partitie).
Het risico dat iemand een typo maakt in username/password, en op die manier zichzelf uitsluit vonden ze te groot.
(En als je de beoogde doelgroep van de RPi bekijkt ben ik het daar wel mee eens)
Maar dan doe je de SD kaart weer in je computer en pas je het aan toch?
Of is dit te simpel gedacht?

[Reactie gewijzigd door oDi.W op 1 december 2016 18:45]

Het lijkt me dat het een one-off bestand is. Één keer aanmaken, de user wordt dan aangemaakt en daarna wordt er niet meer naar het "ssh" bestand gekeken. Dit wordt dan waarschijnlijk gedaan als een soort veiligheidsmaatregel (hoewel je je ook moet afvragen of dat het waard is natuurlijk, als je eenmaal naar /boot kan schrijven en/of de sdkaart kan pakken heb je andere security issues).
Als dit bij de set-up is dan is dat toch gelijk een leer moment en een nieuwe install is zo gefixed
Nee hoor, want je kan de config files aanpassen op de SD kaart. Dus na het image op de kaart zetten.
Moet je hem weer offline halen, SD kaart eruit...

De Pi headless installeren was altijd wel handig. Zelfs Noobs kan je headless gebruiken m.b.v. VNC. Niet veilig, maar dat hoeft ook niet voor een installatieomgeving die alleen kort en in een gesloten netwerk gebruikt wordt voordat de Pi aan een breder publiek wordt ontsloten.

Maar goed, als beveiligingsmaatregel denk ik wel dat dit goed is omdat de meeste gebruikers het niet zo netjes doen.
Hoezo moet je je SD kaart er uithalen en offline halen?

Ik ga er vanuit dat je dit al doet (de config aanpassen) voor je hem in gaat zetten. Als je hem uit de doos haalt en een SD card zonder OS er op in het apparaat stopt doet hij helemaal niets. dus je zal toch zelf iets moeten doen. dan kun je meteen de config file aanpassen. ;)
Het is zelfs nog eenvoudiger: Je hoeft alleen maar een bestand genaamd 'ssh' op de bootpartitie te zetten. Je hoeft dus niet eens de config.txt te editen.
Dat zou je wel zeggen, helaas leert de ervaring dat een legio van deze apparaten zo in DMZ gegooid worden zonder na te denken, zoals ook met de devices waar Mirai zich op richtte. Goeie keuze dus om het standaard dicht te zetten. Nu moet je dan eerst een beetje nadenken alvorens er iets mee te doen op internet.
Als je de firmware op je sd kaart zet kan je het gewoon weer aanzetten met de config files op je sd kaart, prima toch. als je het nodig hebt kan je het aanzetten
Ik vind het symptoom bestrijding, zoals aangeven is SSH niet onveilig, het is onveilig dat ze een default naam/pw combo hebben. Dat kan je ook op andere manieren oplossen dan alleen SSH uitzetten.
Ik vind het symptoom bestrijding, zoals aangeven is SSH niet onveilig, het is onveilig dat ze een default naam/pw combo hebben. Dat kan je ook op andere manieren oplossen dan alleen SSH uitzetten.
Ik vind het helemaal geen symptoombestrijding. Er zijn veel onwetende gebruikers die hun Raspberry Pi als systeempje gebruiken waar ze zich niet op aanloggen via ssh.

Mensen die ssh willen gebruiken vinden die optie wel.

Ssh is inderdaad niet onveilig maar alles wat je op een systeem niet gebruikt kun je het beste uitzetten.

OpenSUSE activeert ssh standaard ook niet. IMO is dat de juiste manier veilige van werken.
SSH naar buiten open zetten is sowieso een gevaar, alles is te bruteforcen.
Daar is dus fail2ban voor. Na 6 pogingen wordt je gewoon geblokkeerd en SSH-sleutels die duren veel en veel te lang om te bruteforcen. Tegen de tijd dat je achter klein kinderen al oud zijn is je kans op succes nog steeds minder dan een procent.

Gewoon geen wachtwoord meer gebruiken. Standaard SSH-sleutel aanmaken bij installatie op zo'n SD-kaart, probleem opgelost.
Gebruik een niet-standaard poort, sta de root user niet toe, gebruik enkel keys en gebruik fail2ban. Succes met brute-forcen de komende eeuwen.
Ik laat persoonlijk nog wel gewoon paswoord authenticatie toe, maar heb 2 factor authentication toegevoegd, zou ook bijna onmogelijk moeten zijn om te bruteforcen.
SSH naar buiten toe is geen probleem. SSH naar binnen toe, das een risico.

Kwestie van semantiek, ik weet het, maar functioneel een groot verschil!

Oh mocht het verschil niet duidelijk zijn: SSH naar buiten toe openzetten stelt je in staat om een SSH sessie naar een server op het internet op te zetten. SSH naar binnen openzetten biedt de mogelijkheid om je Pi vanaf het internet te benaderen....

[Reactie gewijzigd door DigitalExcorcist op 1 december 2016 22:44]

Van buiten naar binnen open zetten is soms ook nodig.
Maar gebruik dan geen password auth, maar RSA kay auth.
Soms moet dat.
Standaard poorten gebruiken is dan ook niet geadviseerd.
Dat is logisch voor ons als tweakers om dat te doen. Daarnaast kan je natuurlijk ook dmv certificaat, username en password in loggen op de pi. Dat moet je natuurlijk wel goed instellen dan wordt het ook al een stuk lastiger om het te bruteforcen.
Nou inderdaad, sinds de poortwisseling heeft fail2ban het bij mij niet zo druk meer. Sterker nog, hij is werkloos!
Dit is natuurlijk alleen interessant voor apparaten in een dmz of met ssh port forwarding.

Niemand heeft toch ssh naar z'n pi op zn router open staan? 8)7
Kan ook dat 1 van je andere apparaten in je lokale netwerk al besmet is, of dat besmetting gebeurd vanuit je webbrowser op je P.C. d.m.v. javascript dat je lokale netwerk scant en infecteert. Zo zijn er vast nog legio mogelijkheden te bedenken om apparaten in je lokale netwerk te besmetten.

[EDIT]: Kijk bijvoorbeeld eens op: https://defuse.ca/in-browser-port-scanning.htm

[Reactie gewijzigd door D11 op 1 december 2016 14:31]

Eh, en waarom niet? Fail2ban, evt niet-standaard poortnummer, alleen toegang vanaf bepaalde WAN reeksen, en je bent veilig zat.

Hoe denk je dat mailservers werken? Daar staat poort 25 ook gewoon open en hoef je doorgaans niet eens op aan te melden...
Uiteraard, maar een gesprek met een mail server (of een end point) heeft gelimiteerde functionaliteit.

Ssh is bedoeld voor beheer waar een mailserver alleen mail opdrachten verwerkt.

Ik snap je punt, maar mensen die ssh aan hebben hebben en default pi/raspberry account gebruiken forwarden hun port 22 niet ;)

[Reactie gewijzigd door TheNymf op 1 december 2016 23:16]

Goede zaak, ik heb nooit begrepen dat dit standaard open stond, da's toch regel 1 van systeembeheer. Niet alleen van buiten, maar iedereen op je eigen WiFi kan er zo ook in.
Omdat veel Pi's 'headless', dus zonder muis en toetsenbord worden aangesloten.
Dat stel je dan toch in op je SD card?
Op de bootpartitie was er geen mogelijkheid voor (nu wel: Als je een bestand 'ssh' op die partitie hebt staan bij de eerste boot, wordt ssh aangezet (en het bestand gewist))

Daarnaast was het idee van de RPi om alles zo eenvoudig mogelijk te houden. Een open ssh met standaard user/password is eenvoudig, en aangezien de meeste RPi's in een lokaal netwerk zitten niet al te gevaarlijk. Maar nu er meer en meer IOT projecten met Raspberries komen wordt het tijd om die open deur een beetje dicht te zetten.

Helaas word je nog niet verplicht een nieuw wachtwoord aan te maken bij de eerste login.
Komt dat niet gewoon voort uit het feit dat dat bordje in eerste instantie als leerbordje werd ontwikkeld? Voor scholen etc om mensen te leren programmeren en leren te werken met linux?

Nu iedereen dat ding overal voor gebruikt moeten ze idd meer aan de beveiliging gaan doen. De meeste gebruikers weten daar waarschijnlijk niets van af (en boeit ze wellicht ook niets), die gebruiken de pi alleen als media server of retro gameconsole.
Juist op scholen zou ik ssh direct uitzetten, er zitten zoveel mensen op die LAN's.
Als leerbordje maakt dat toch juist helemaal niet uit (wat is het gevaar)?

Niet dat ik het verkeerd vind wat ze nu doen, mensen moeten steeds bewuster gemaakt worden van potentiële beveiligingslekken. Als je iets bewust aan zet heb je waarschijnlijk/hopelijk iets ingelezen, en je wachtoord aangepast.

Heb nu wel al 2 keer gehoord dat er op een ICT gerelateerde meeting mensen mensen inloggen op het verkeerde bordje, omdat de login op beide gelijk was :P

[Reactie gewijzigd door watercoolertje op 1 december 2016 13:41]

Niet als je gewoon een sterk wachtwoord instelt natuurlijk. :P
Dat SSH actief is maakt weinig uit, het standard credentials gedeelte is waar het misgaat.
Op zich een goede stap, al kan iemand er pas misbruik van maken als hij al op je netwerk zit of als je aanpassingen op je router maakt om er van buitenaf bij te kunnen.
Precies dit.
Het is toch technisch gezien niet mogelijk om buitenaf binnen te dringen? (Los van exploits dan)
Wellicht wel als je IPv6 gebruikt.
IPv6 verandert daar niks aan, je zal nog steeds door de firewall van de router heen moeten.
Die 'firewall' is in de praktijk vooral een NAT. Met IPv6 heb je geen NAT meer nodig dus is directe communicatie met het internet veel makkelijker, en het risico dat iemand zijn router zo geconfigureerd heeft dat de Raspberry Pi van buitenaf bereikbaar is dus groter.
In theorie, maar in alle huidige situaties waar IPv6 wordt uitgerold zit er een firewall op de router.

[Reactie gewijzigd door Dreamvoid op 1 december 2016 17:33]

Ik heb geen ervaring met zo'n firewall, maar ik vermoed dat het uitschakelen van zijn functie aanzienlijk eenvoudiger is dan het configureren van SSH-toegang tot je Raspberry via NAT.
Nee hoor werkt in de praktijk net zo. In plaats van een port forward rule op je router:
- "forward port 22 naar 192.168.1.7"
stel je op je router in net zo'n tabelletje in:
- "open port 22 voor 2001:0db8:85a3:0000:0000:8a2e:0370:7334"
Zelfde resultaat, net zo moeilijk/makkelijk.

(in de praktijk krijg je een lijstje van ipv6 adressen/hostnames op je LAN waaruit je kiest, je hoeft het ipv6 adres niet helemaal over te typen)

[Reactie gewijzigd door Dreamvoid op 2 december 2016 11:48]

Ligt aan de toepassing van het pibordje, kan me voorstellen dat NAS achtige (en andere netwerk gerelateerde) toepassingen sneller geneigd zijn om van buitenaf bereikbaar te zijn (en daarom een stukje wizard zullen bevatten om de nodige aanpassingen in je router aan te maken, port forwards and whatnot).

Maar dan zou je toch ook hopen dat er in die gevallen sowieso iets meer over veiligheid is nagedacht.

De grootste groep waarvoor dit sowieso een kwetsbaarheid is, zullen het waarschijnlijk vooral voor simpele media toepassingen gebruiken, en die zouden toch niet zomaar vanaf buiten benaderbaar moeten zijn.
Jammer, ik sluit liever een enkele ethernet kabel aan en neem me pi over in me privé netwerk waarna ik de inloggegevens aanpas. Dan dat ik eerst me Pi moet aansluiten op een scherm met muis en toetsenbord, kost toch weer extra moeite. Ik ben veel aan het rotzooien met mijn Pi, dit was heel makkelijk iedere keer met een clean install en vervolgens de ssh sessie starten.
Dat moet dus niet. Als je een image op een SD kaart zet, hoef je alleen maar een bestand 'ssh' op de /boot partitie te plaatsen.
Aangezien je de image via een werkende machine op de SD kaart moet zetten, is het al dan niet headless zijn van de RPi geen issue
Of je past de config file op je sd-kaart aan.
Neem je 1 keer de moeite om hem voor je zelf goed in te stellen en maak je van deze SD kaart een backup voor je toekomstige setup's
Zou het geen optie zijn om een uniek wachtwoord te genereren bij het flashen van de sd-kaart? of standaard open, en bij eerste login verplicht een nieuw wachtwoord instellen.

Het was zo makkelijk ethernet kabel erin, en gaan. Nu dus weer aan de gang met beeldscherm, toetsenbord en muis.. :(

Gejailbreakte Ios devices hebben volgens mij hetzelfde euvel, SSH aan met standaard gebruikersnaam en wachtwoord...
Veel bedrijven hebben dit op een Windows domein ook, en dit werkt inderdaad vrij goed. Ik vermoed dat er toch iets teveel aanpassingen aan de Linux kernel moeten worden gedaan omdat goed werkbaar en veilig te krijgen.
Image op de sd kaart zetten daarna gelijk een file in /boot zetten dan staat ssh aan als je opstart. Geen muis toetsenbord en beeldscherm nodig.
Verstandig. Als je je Pi alleen headless wil gaan gebruiken, kan je de config files aanpassen op de SD kaart voordat je deze in de Pi stopt.
Makkelijke oplossing... Laat de gebruiker dan bij installatie eerst een gebruikersnaam en wachtwoord kiezen. Als ze het echt echt veilig willen maken schakel dan standaard internet uit. :+

Op zich wel goed dat Long oproept om ssh uit te schakelen als je het niet gebruikt. Alleen gaat dit eigenlijk niet ver genoeg. Wat je bij Pi-os Raspbian en ook bijvoorbeeld Linux wil zien is dat je bij installatie en later altijd moet kunnen zien en aangeven welke services je aan en uit wil zetten.
hoop ik wel dat er dan een server editie komt zodat je geen monitor hoeft aan te sluiten bij install er van.


Om te kunnen reageren moet je ingelogd zijn



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True