Mit seiner Vielseitigkeit und extrem kompakten Größe ist der Raspberry Pi ideal für mein Allsky-Kamera-Projekt geeignet. Doch wie bei jedem internetfähigen Gerät ist auch hier der Schutz vor potenziellen Angriffen entscheidend. Hier sind die meiner Ansicht nach wichtigsten Maßnahmen, um die Sicherheit eines Raspberry Pi 5 zu gewährleisten:
1. Eigenen Nutzernamen festlegen und Passwort verschlüsseln
Standardmäßig lautet der SSH-User eines Raspberry Pi – sehr kreativ – „pi“. Diesen zu ändern macht absolut Sinn sowie zusätzlich nach der Erstinstallation des Raspberry Pi OS das SSH-Passwort mithilfe des Befehls „passwd“ zu ändern. Vorteil davon ist, dass das Password dann verschlüsselt im System abgelegt wird.
2. Regelmäßige System-Updates
Wie bei jedem Betriebssystem ist es wichtig, das System stets aktuell zu halten. Sicherheitslücken in der Software können von Angreifern ausgenutzt werden. Daher sollten regelmäßig Updates durchgeführt werden. Das geht ganz einfach mit den folgenden Befehlen:
1 2 | sudo apt-get update sudo apt-get upgrade |
Diese Befehle sorgen dafür, dass alle installierten Pakete auf die neueste Version aktualisiert werden. Um auch die Kernel-Updates mitzunehmen, kann folgender Befehl verwendet werden.
1 | sudo apt-get dist-upgrade |
Zusätzlich ist es möglich, das System automatisch auf dem neuesten Stand zu halten – die Anleitung findet ihr hier.
3. SSH absichern
Viele Nutzer greifen per SSH (Secure Shell) auf ihren Raspberry Pi zu, vor allem wenn sie keinen Monitor oder keine Tastatur angeschlossen haben. Standardmäßig ist SSH aktiviert, was eine potenzielle Angriffsfläche darstellt. Folgende Maßnahmen können den SSH-Zugang sicherer machen:
SSH nur für bestimmte Nutzer erlauben:
Der direkte root-Zugang sollte über SSH gesperrt werden, um eine direkte Kontrolle durch Angreifer zu verhindern. Dies kann durch Bearbeiten der Datei /etc/ssh/sshd_config geschehen – z.B. mit dem Text-Editor „nano“:
1 | sudo nano /etc/ssh/sshd_config |
Hier sollte folgende Zeile auf „no“ gesetzt werden:
1 | PermitRootLogin no |
Anschließend den SSH-Service neu starten mit:
1 | /etc/init.d/ssh restart |
SSH-Port ändern:
Der Standard-SSH-Port 22 ist gut bekannt und wird oft Ziel von Angriffen. Das Ändern des Ports kann hier helfen:
1 | sudo nano /etc/ssh/sshd_config |
In dieser Datei wird der Port geändert, indem die Zeile „Port 22“ auf einen anderen Port wie z. B. „Port 2222“ gesetzt wird.
Passwortlose Anmeldung:
Die Nutzung von SSH-Schlüsseln ist sicherer als eine Anmeldung mit Benutzername und Passwort. Ein Schlüsselpaar kann durch den Befehl „ssh-keygen“ erstellt werden. Der öffentliche Schlüssel wird dann auf dem Raspberry Pi hinterlegt, um die Anmeldung ohne Passwort zu ermöglichen.
4. Fail2ban installieren
Eine häufige Angriffsmethode ist das sogenannte Brute-Forcing, bei dem Angreifer versuchen, durch das Ausprobieren vieler Passwortkombinationen Zugang zu erhalten. Um dies zu verhindern, kann fail2ban installiert werden:
1 | sudo apt-get install fail2ban |
Fail2ban überwacht die Anmeldeversuche und blockiert IP-Adressen, von denen wiederholte fehlgeschlagene Versuche ausgehen. Dies erschwert es Angreifern, den Zugang zu erlangen.