Update voor Raspberry Pi-os Raspbian schakelt ssh standaard uit

Simon Long, ux-ontwerper bij de Raspberry Pi Foundation, heeft bekendgemaakt dat in een nieuwe versie van het besturingssysteem Raspbian ssh standaard staat uitgeschakeld. Daarmee moeten de apparaten minder kwetsbaar worden voor aanvallen.

Raspberry Pi logo fpa Volgens Long is ssh handig om een Raspberry Pi op afstand te beheren, bijvoorbeeld als gebruikers het apparaat headless gebruiken zonder muis, scherm of toetsenbord. Maar het standaard inschakelen kan een beveiligingsrisico vormen, omdat de standaardinloggegevens zijn vastgelegd op de gebruikersnaam 'pi' en het wachtwoord 'raspberry'. Een van de veranderingen is dat de gebruiker nu bij het inschakelen van ssh een waarschuwing te zien krijgt als hij geen wijzigingen in de logins aanbrengt.

Het risico is dat een kwaadwillende gebruiker zich van buitenaf toegang kan verschaffen tot het apparaat door gebruik te maken van de standaardlogin. Dit was bijvoorbeeld te zien bij de Mirai-malware, die op deze manier iot-apparaten met zwakke beveiliging, waaronder ip-camera's en digitale videorecorders, infecteerde en toevoegde aan het botnet. Het bleek dat dit botnet in staat is om zware aanvallen uit te voeren.

Long zegt dat er geen reden tot paniek is, omdat niet is gebleken dat er aanvallen plaatsvinden op apparaten met Raspbian. De update dient alleen als een aanvullende beveiligingsmaatregel. Gebruikers die alsnog gebruik willen maken van ssh kunnen dit handmatig inschakelen. Long roept bovendien bestaande gebruikers op om ssh uit te schakelen als zij dit niet gebruiken.

ssh raspberry pi

Reacties (74)

theMob 1 december 2016 10:52

Ik begrijp de beslissing wel, maar het is onhandig dat je nu je Pi met toetsenbord moet aansluiten voor je hem kunt gebruiken na een nieuwe OS installatie.

Tk55 @theMob • 1 december 2016 10:54

Nee hoor, want je kan de config files aanpassen op de SD kaart. Dus na het image op de kaart zetten.

pvink @Tk55 • 1 december 2016 10:59

Hoe dan als ik vragen mag? Ik zie nergens in de image een config file waar iets met ssh instaat (of een ssh file). Momenteel is mijn oplossing om via een Linux stick op te starten en het sd kaartje in te laden om zo het config bestand aan te passen.

Tegen dit problem loop ik al enkele dagen en kom er nu dus achter dat de SSH uitgeschakelt is

Edit: Moet toch maar eens verder lezen dan mijn neus lang is

[Reactie gewijzigd door pvink op 24 juli 2024 10:12]

DutchTux @pvink • 1 december 2016 11:25

Het activeren van SSH zonder dat je heel de raspberry PI aan te sluiten is simpel bestand genaamd ssh in de map /boot (Ook wel de filesysteem die je alleen ziet in Windows) te plaatsen en dan booten.

Raspbian detecteer automatisch het bestand en zet SSH standaard voor je aan.
Er hoeft niks in het bestand te staan.

Ik heb dit gelezen in het artikel wat bij dit bericht staat.

i-chat @DutchTux • 1 december 2016 11:29

jammer dat ze dan niet gelijk een
username = "username"
password = "password"
authtoken = "$$$keystring$$$"
hasroot = y/n 1/0 true/false

dat zou het instellen van ssh wel direct veel beter maken.

[Reactie gewijzigd door i-chat op 24 juli 2024 10:12]

JAVE @i-chat • 1 december 2016 11:39

Hebben ze overwogen, maar besloten om niet te doen (username/password zetten via de /boot partitie).
Het risico dat iemand een typo maakt in username/password, en op die manier zichzelf uitsluit vonden ze te groot.
(En als je de beoogde doelgroep van de RPi bekijkt ben ik het daar wel mee eens)

odiw @JAVE • 1 december 2016 18:45

Maar dan doe je de SD kaart weer in je computer en pas je het aan toch?
Of is dit te simpel gedacht?

[Reactie gewijzigd door odiw op 24 juli 2024 10:12]

carlpls @odiw • 1 december 2016 20:10

Het lijkt me dat het een one-off bestand is. Één keer aanmaken, de user wordt dan aangemaakt en daarna wordt er niet meer naar het "ssh" bestand gekeken. Dit wordt dan waarschijnlijk gedaan als een soort veiligheidsmaatregel (hoewel je je ook moet afvragen of dat het waard is natuurlijk, als je eenmaal naar /boot kan schrijven en/of de sdkaart kan pakken heb je andere security issues).

Tadsz @JAVE • 2 december 2016 08:50

Als dit bij de set-up is dan is dat toch gelijk een leer moment en een nieuwe install is zo gefixed

DRaakje @pvink • 1 december 2016 11:07

http://www.pibakery.org/

Verwijderd @DRaakje • 1 december 2016 11:14

Thanks! Precies wat er miste in mijn leven

Johnwulp @DRaakje • 1 december 2016 14:46

Super tip!!!

The Zep Man

Netwerk en systeembeheer
Besturingssystemen
Security

@Tk55 • 1 december 2016 10:58

Nee hoor, want je kan de config files aanpassen op de SD kaart. Dus na het image op de kaart zetten.

Moet je hem weer offline halen, SD kaart eruit...

De Pi headless installeren was altijd wel handig. Zelfs Noobs kan je headless gebruiken m.b.v. VNC. Niet veilig, maar dat hoeft ook niet voor een installatieomgeving die alleen kort en in een gesloten netwerk gebruikt wordt voordat de Pi aan een breder publiek wordt ontsloten.

Maar goed, als beveiligingsmaatregel denk ik wel dat dit goed is omdat de meeste gebruikers het niet zo netjes doen.

Verwijderd @The Zep Man • 1 december 2016 11:09

Hoezo moet je je SD kaart er uithalen en offline halen?

Ik ga er vanuit dat je dit al doet (de config aanpassen) voor je hem in gaat zetten. Als je hem uit de doos haalt en een SD card zonder OS er op in het apparaat stopt doet hij helemaal niets. dus je zal toch zelf iets moeten doen. dan kun je meteen de config file aanpassen.

JAVE @Verwijderd • 1 december 2016 11:37

Het is zelfs nog eenvoudiger: Je hoeft alleen maar een bestand genaamd 'ssh' op de bootpartitie te zetten. Je hoeft dus niet eens de config.txt te editen.

Belsameth @The Zep Man • 1 december 2016 13:07

Dat zou je wel zeggen, helaas leert de ervaring dat een legio van deze apparaten zo in DMZ gegooid worden zonder na te denken, zoals ook met de devices waar Mirai zich op richtte. Goeie keuze dus om het standaard dicht te zetten. Nu moet je dan eerst een beetje nadenken alvorens er iets mee te doen op internet.

djneo-nl 1 december 2016 11:09

Als je de firmware op je sd kaart zet kan je het gewoon weer aanzetten met de config files op je sd kaart, prima toch. als je het nodig hebt kan je het aanzetten

it0 @djneo-nl • 1 december 2016 11:40

Ik vind het symptoom bestrijding, zoals aangeven is SSH niet onveilig, het is onveilig dat ze een default naam/pw combo hebben. Dat kan je ook op andere manieren oplossen dan alleen SSH uitzetten.

Verwijderd @it0 • 1 december 2016 11:54

Ik vind het symptoom bestrijding, zoals aangeven is SSH niet onveilig, het is onveilig dat ze een default naam/pw combo hebben. Dat kan je ook op andere manieren oplossen dan alleen SSH uitzetten.

Ik vind het helemaal geen symptoombestrijding. Er zijn veel onwetende gebruikers die hun Raspberry Pi als systeempje gebruiken waar ze zich niet op aanloggen via ssh.

Mensen die ssh willen gebruiken vinden die optie wel.

Ssh is inderdaad niet onveilig maar alles wat je op een systeem niet gebruikt kun je het beste uitzetten.

OpenSUSE activeert ssh standaard ook niet. IMO is dat de juiste manier veilige van werken.

ShadowAS1 @it0 • 1 december 2016 11:45

SSH naar buiten open zetten is sowieso een gevaar, alles is te bruteforcen.

Verwijderd @ShadowAS1 • 1 december 2016 12:00

Daar is dus fail2ban voor. Na 6 pogingen wordt je gewoon geblokkeerd en SSH-sleutels die duren veel en veel te lang om te bruteforcen. Tegen de tijd dat je achter klein kinderen al oud zijn is je kans op succes nog steeds minder dan een procent.

Gewoon geen wachtwoord meer gebruiken. Standaard SSH-sleutel aanmaken bij installatie op zo'n SD-kaart, probleem opgelost.

RedPixel @ShadowAS1 • 1 december 2016 12:16

Gebruik een niet-standaard poort, sta de root user niet toe, gebruik enkel keys en gebruik fail2ban. Succes met brute-forcen de komende eeuwen.

vix-ducis @RedPixel • 1 december 2016 14:00

Ik laat persoonlijk nog wel gewoon paswoord authenticatie toe, maar heb 2 factor authentication toegevoegd, zou ook bijna onmogelijk moeten zijn om te bruteforcen.

DigitalExorcist @ShadowAS1 • 1 december 2016 22:42

SSH naar buiten toe is geen probleem. SSH naar binnen toe, das een risico.

Kwestie van semantiek, ik weet het, maar functioneel een groot verschil!

Oh mocht het verschil niet duidelijk zijn: SSH naar buiten toe openzetten stelt je in staat om een SSH sessie naar een server op het internet op te zetten. SSH naar binnen openzetten biedt de mogelijkheid om je Pi vanaf het internet te benaderen....

[Reactie gewijzigd door DigitalExorcist op 24 juli 2024 10:12]

ShadowAS1 @DigitalExorcist • 2 december 2016 12:28

Van buiten naar binnen open zetten is soms ook nodig.
Maar gebruik dan geen password auth, maar RSA kay auth.

klompmaker @ShadowAS1 • 1 december 2016 11:51

Soms moet dat.
Standaard poorten gebruiken is dan ook niet geadviseerd.

Raverty @klompmaker • 1 december 2016 12:01

Dat is logisch voor ons als tweakers om dat te doen. Daarnaast kan je natuurlijk ook dmv certificaat, username en password in loggen op de pi. Dat moet je natuurlijk wel goed instellen dan wordt het ook al een stuk lastiger om het te bruteforcen.

steveman @klompmaker • 1 december 2016 12:24

Nou inderdaad, sinds de poortwisseling heeft fail2ban het bij mij niet zo druk meer. Sterker nog, hij is werkloos!

sjongenelen 1 december 2016 12:38

Dit is natuurlijk alleen interessant voor apparaten in een dmz of met ssh port forwarding.

Niemand heeft toch ssh naar z'n pi op zn router open staan?

D11 @sjongenelen • 1 december 2016 14:25

Kan ook dat 1 van je andere apparaten in je lokale netwerk al besmet is, of dat besmetting gebeurd vanuit je webbrowser op je P.C. d.m.v. javascript dat je lokale netwerk scant en infecteert. Zo zijn er vast nog legio mogelijkheden te bedenken om apparaten in je lokale netwerk te besmetten.

[EDIT]: Kijk bijvoorbeeld eens op: https://defuse.ca/in-browser-port-scanning.htm

[Reactie gewijzigd door D11 op 24 juli 2024 10:12]

sjongenelen @D11 • 1 december 2016 17:24

Goed punt!

DigitalExorcist @sjongenelen • 1 december 2016 22:46

Eh, en waarom niet? Fail2ban, evt niet-standaard poortnummer, alleen toegang vanaf bepaalde WAN reeksen, en je bent veilig zat.

Hoe denk je dat mailservers werken? Daar staat poort 25 ook gewoon open en hoef je doorgaans niet eens op aan te melden...

sjongenelen @DigitalExorcist • 1 december 2016 23:15

Uiteraard, maar een gesprek met een mail server (of een end point) heeft gelimiteerde functionaliteit.

Ssh is bedoeld voor beheer waar een mailserver alleen mail opdrachten verwerkt.

Ik snap je punt, maar mensen die ssh aan hebben hebben en default pi/raspberry account gebruiken forwarden hun port 22 niet

[Reactie gewijzigd door sjongenelen op 24 juli 2024 10:12]

Dreamvoid 1 december 2016 10:51

Goede zaak, ik heb nooit begrepen dat dit standaard open stond, da's toch regel 1 van systeembeheer. Niet alleen van buiten, maar iedereen op je eigen WiFi kan er zo ook in.

Room42 @Dreamvoid • 1 december 2016 10:54

Omdat veel Pi's 'headless', dus zonder muis en toetsenbord worden aangesloten.

Dreamvoid @Room42 • 1 december 2016 10:56

Dat stel je dan toch in op je SD card?

JAVE @Dreamvoid • 1 december 2016 11:35

Op de bootpartitie was er geen mogelijkheid voor (nu wel: Als je een bestand 'ssh' op die partitie hebt staan bij de eerste boot, wordt ssh aangezet (en het bestand gewist))

Daarnaast was het idee van de RPi om alles zo eenvoudig mogelijk te houden. Een open ssh met standaard user/password is eenvoudig, en aangezien de meeste RPi's in een lokaal netwerk zitten niet al te gevaarlijk. Maar nu er meer en meer IOT projecten met Raspberries komen wordt het tijd om die open deur een beetje dicht te zetten.

Helaas word je nog niet verplicht een nieuw wachtwoord aan te maken bij de eerste login.

Verwijderd @Dreamvoid • 1 december 2016 11:12

Komt dat niet gewoon voort uit het feit dat dat bordje in eerste instantie als leerbordje werd ontwikkeld? Voor scholen etc om mensen te leren programmeren en leren te werken met linux?

Nu iedereen dat ding overal voor gebruikt moeten ze idd meer aan de beveiliging gaan doen. De meeste gebruikers weten daar waarschijnlijk niets van af (en boeit ze wellicht ook niets), die gebruiken de pi alleen als media server of retro gameconsole.

Dreamvoid @Verwijderd • 1 december 2016 12:59

Juist op scholen zou ik ssh direct uitzetten, er zitten zoveel mensen op die LAN's.

watercoolertje @Dreamvoid • 1 december 2016 13:37

Als leerbordje maakt dat toch juist helemaal niet uit (wat is het gevaar)?

Niet dat ik het verkeerd vind wat ze nu doen, mensen moeten steeds bewuster gemaakt worden van potentiële beveiligingslekken. Als je iets bewust aan zet heb je waarschijnlijk/hopelijk iets ingelezen, en je wachtoord aangepast.

Heb nu wel al 2 keer gehoord dat er op een ICT gerelateerde meeting mensen mensen inloggen op het verkeerde bordje, omdat de login op beide gelijk was

[Reactie gewijzigd door watercoolertje op 24 juli 2024 10:12]

WhatsappHack

Netwerk en systeembeheer
Security

@Dreamvoid • 1 december 2016 16:29

Niet als je gewoon een sterk wachtwoord instelt natuurlijk.

Dat SSH actief is maakt weinig uit, het standard credentials gedeelte is waar het misgaat.

AtlonXP1800 1 december 2016 10:55

Op zich een goede stap, al kan iemand er pas misbruik van maken als hij al op je netwerk zit of als je aanpassingen op je router maakt om er van buitenaf bij te kunnen.

Verwijderd @AtlonXP1800 • 1 december 2016 10:58

Precies dit.
Het is toch technisch gezien niet mogelijk om buitenaf binnen te dringen? (Los van exploits dan)

84hannes @Verwijderd • 1 december 2016 11:49

Wellicht wel als je IPv6 gebruikt.

Dreamvoid @84hannes • 1 december 2016 12:59

IPv6 verandert daar niks aan, je zal nog steeds door de firewall van de router heen moeten.

84hannes @Dreamvoid • 1 december 2016 14:00

Die 'firewall' is in de praktijk vooral een NAT. Met IPv6 heb je geen NAT meer nodig dus is directe communicatie met het internet veel makkelijker, en het risico dat iemand zijn router zo geconfigureerd heeft dat de Raspberry Pi van buitenaf bereikbaar is dus groter.

Dreamvoid @84hannes • 1 december 2016 17:33

In theorie, maar in alle huidige situaties waar IPv6 wordt uitgerold zit er een firewall op de router.

[Reactie gewijzigd door Dreamvoid op 24 juli 2024 10:12]

84hannes @Dreamvoid • 2 december 2016 11:38

Ik heb geen ervaring met zo'n firewall, maar ik vermoed dat het uitschakelen van zijn functie aanzienlijk eenvoudiger is dan het configureren van SSH-toegang tot je Raspberry via NAT.

Dreamvoid @84hannes • 2 december 2016 11:47

Nee hoor werkt in de praktijk net zo. In plaats van een port forward rule op je router:
- "forward port 22 naar 192.168.1.7"
stel je op je router in net zo'n tabelletje in:
- "open port 22 voor 2001:0db8:85a3:0000:0000:8a2e:0370:7334"
Zelfde resultaat, net zo moeilijk/makkelijk.

(in de praktijk krijg je een lijstje van ipv6 adressen/hostnames op je LAN waaruit je kiest, je hoeft het ipv6 adres niet helemaal over te typen)

[Reactie gewijzigd door Dreamvoid op 24 juli 2024 10:12]

Zoop @Verwijderd • 1 december 2016 11:32

Ligt aan de toepassing van het pibordje, kan me voorstellen dat NAS achtige (en andere netwerk gerelateerde) toepassingen sneller geneigd zijn om van buitenaf bereikbaar te zijn (en daarom een stukje wizard zullen bevatten om de nodige aanpassingen in je router aan te maken, port forwards and whatnot).

Maar dan zou je toch ook hopen dat er in die gevallen sowieso iets meer over veiligheid is nagedacht.

De grootste groep waarvoor dit sowieso een kwetsbaarheid is, zullen het waarschijnlijk vooral voor simpele media toepassingen gebruiken, en die zouden toch niet zomaar vanaf buiten benaderbaar moeten zijn.

marineII7 1 december 2016 10:54

Jammer, ik sluit liever een enkele ethernet kabel aan en neem me pi over in me privé netwerk waarna ik de inloggegevens aanpas. Dan dat ik eerst me Pi moet aansluiten op een scherm met muis en toetsenbord, kost toch weer extra moeite. Ik ben veel aan het rotzooien met mijn Pi, dit was heel makkelijk iedere keer met een clean install en vervolgens de ssh sessie starten.

JAVE @marineII7 • 1 december 2016 11:41

Dat moet dus niet. Als je een image op een SD kaart zet, hoef je alleen maar een bestand 'ssh' op de /boot partitie te plaatsen.
Aangezien je de image via een werkende machine op de SD kaart moet zetten, is het al dan niet headless zijn van de RPi geen issue

pbruins84 @marineII7 • 1 december 2016 11:26

Of je past de config file op je sd-kaart aan.

rc5proxy @marineII7 • 1 december 2016 22:29

Neem je 1 keer de moeite om hem voor je zelf goed in te stellen en maak je van deze SD kaart een backup voor je toekomstige setup's

Wouter15 1 december 2016 10:56

Zou het geen optie zijn om een uniek wachtwoord te genereren bij het flashen van de sd-kaart? of standaard open, en bij eerste login verplicht een nieuw wachtwoord instellen.

Het was zo makkelijk ethernet kabel erin, en gaan. Nu dus weer aan de gang met beeldscherm, toetsenbord en muis..

Gejailbreakte Ios devices hebben volgens mij hetzelfde euvel, SSH aan met standaard gebruikersnaam en wachtwoord...

speedydown @Wouter15 • 1 december 2016 11:07

Veel bedrijven hebben dit op een Windows domein ook, en dit werkt inderdaad vrij goed. Ik vermoed dat er toch iets teveel aanpassingen aan de Linux kernel moeten worden gedaan omdat goed werkbaar en veilig te krijgen.

revertive @Wouter15 • 1 december 2016 12:50

Image op de sd kaart zetten daarna gelijk een file in /boot zetten dan staat ssh aan als je opstart. Geen muis toetsenbord en beeldscherm nodig.

Tk55 1 december 2016 10:53

Verstandig. Als je je Pi alleen headless wil gaan gebruiken, kan je de config files aanpassen op de SD kaart voordat je deze in de Pi stopt.

StefandeGroot 1 december 2016 10:55

Makkelijke oplossing... Laat de gebruiker dan bij installatie eerst een gebruikersnaam en wachtwoord kiezen. Als ze het echt echt veilig willen maken schakel dan standaard internet uit.

Op zich wel goed dat Long oproept om ssh uit te schakelen als je het niet gebruikt. Alleen gaat dit eigenlijk niet ver genoeg. Wat je bij Pi-os Raspbian en ook bijvoorbeeld Linux wil zien is dat je bij installatie en later altijd moet kunnen zien en aangeven welke services je aan en uit wil zetten.

evharten 1 december 2016 10:56

hoop ik wel dat er dan een server editie komt zodat je geen monitor hoeft aan te sluiten bij install er van.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (74)

Sorteer op:

Weergave: