6 sposobów na zapewnienie bezpieczeństwa Raspberry Pi 5
Co należy zrobić, aby zabezpieczyć Raspberry Pi 5? W tym artykule omówię niektóre z najszybszych i najlepszych sposobów na zapewnienie bezpieczeństwa Raspberry Pi 5.
Przed (lub w trakcie) konfigurowania Raspberry Pi 5, przeczytaj najpierw ten artykuł!
#1: Konfigurowanie bezpiecznych haseł, poważnie
Dla wielu osób standardowy sposób konfiguracji Raspberry Pi 5 rozpocznie się od tego: Raspberry Pi Imager.
Na szczęście w ciągu ostatnich kilku lat Raspberry Pi Imager naprawdę ewoluował. Dziś bardzo łatwo jest zacząć i szybko skonfigurować protokoły bezpieczeństwa na swoim Pi.
Po pierwsze, jeśli nie potrzebujesz interfejsu komunikacyjnego, nie konfiguruj go. Jeśli planujesz skonfigurować Raspberry Pi 5 do czegoś bez WiFi, to nie konfiguruj WiFi. Jeśli nie będziesz korzystać z SSH na swoim Pi, nie konfiguruj go.
Oczywiście możesz później zmienić zdanie i włączyć te interfejsy po skonfigurowaniu Pi. Jeśli jednak zamierzasz korzystać z tych interfejsów, musisz używać silnych haseł.
Silne hasła są długie, zawierają małe i wielkie litery, cyfry i znaki specjalne. Ale tak naprawdę najlepsze hasła są bardziej podobne do hasła.
Nie wierz mi na słowo. Posłuchaj Edwarda Snowdena:
Obecnie Raspberry Pi Imager nie oferuje domyślnej nazwy użytkownika i hasła. Historycznie jednak, o czym pisaliśmy już wcześniejDomyślną nazwą użytkownika i hasłem na Raspberry Pis były:
nazwa użytkownika: pi
hasło: malina
Dlatego wiele Raspberry Pis na świecie nadal ma tę nazwę użytkownika i hasło. Jest to łatwa do zapamiętania kombinacja, ale niezbyt bezpieczna.
Należy mądrze podchodzić do haseł, ponieważ często są one główną linią obrony. Oczywiście jeszcze lepsze od haseł są klucze SSH, ale zostawię to na inny raz.
#2: Aktualizacja i uaktualnienie
Po wgraniu nowego systemu operacyjnego Raspberry Pi na kartę SD należy upewnić się, że wszystko jest w porządku.
To, co należy tutaj zrobić, to po prostu klasyczny styl Debiana.
Otwórz terminal i uruchom go:
sudo apt update && sudo apt upgrade
Jeśli jesteś już użytkownikiem Debiana, prawdopodobnie jesteś przyzwyczajony do ciągłego uruchamiania tego programu. Musisz to zrobić przed zainstalowaniem nowego programu, przed wprowadzeniem jakichkolwiek zmian lub po prostu co kilka dni.
Jeśli nie jesteś użytkownikiem Debiana, może się to wydawać niepotrzebne, ale powinieneś absolutnie zintegrować to z codziennymi zadaniami na komputerze. Jeśli oprogramowanie twojego Pi jest aktualne, jest ono bezpieczniejsze.
#3: Określanie, kto może uzyskać dostęp do SSH
Jak wspomniałem powyżej, jeśli nie zamierzasz korzystać z SSH na swoim Pi, możesz po prostu wyłączyć SSH jako interfejs. Jeśli jednak planujesz korzystać z SSH, powinieneś upewnić się, że jest on tak bezpieczny, jak to tylko możliwe.
W rzeczywistości istnieje kilka różnych sposobów na zapewnienie bezpieczeństwa SSH, więc pozwól mi omówić kilka z nich.
Jednym z nich jest ograniczenie użytkowników, którzy mogą uzyskać dostęp do Pi przez SSH.
Robi się to poprzez zmianę pliku konfiguracyjnego SSH Daemon. Przejdź do terminala i wpisz:
sudo nano /etc/ssh/sshd_config
Następnie przewiń do dołu i dodaj AllowUsers
a następnie nazwy użytkowników, na które chcesz zezwolić. Naciśnij Ctrl-X, a następnie uruchom:
sudo service ssh restart
A teraz masz ograniczony dostęp do SSH swojego Raspberry Pi.
#4: Zmiana numeru portu SSH
Innym sposobem na zapewnienie bezpieczeństwa SSH jest zmiana numeru portu SSH.
Domyślny numer portu SSH to 22.
Zgadnij, kto o tym wie? Każdy, kto szuka otwartych portów SSH.
Tak więc klasyczna poprawka sysadmina polega na zmianie tego numeru. Na Raspberry Pi wystarczy przejść do terminala i ponownie zmienić plik konfiguracyjny SSH Daemon.
Więc biegnij:
sudo nano /etc/ssh/sshd_config
Następnie należy przewinąć w dół i zmienić wiersz o treści #Port 22
do czegoś takiego jak Port 2222
. Będziesz także chciał usunąć # na początku linii.
Powinienem wspomnieć, że możesz również ustawić inny numer, jeśli chcesz. 2222 to typowa zmiana.
Ale wtedy, po raz kolejny, musisz ponownie uruchomić SSH (nie zapomnij o tym kroku!):
sudo service ssh restart
Teraz, gdy chcesz SSH do swojego Raspberry Pi, musisz dodać -p 2222
do polecenia SSH w terminalu.
Ale to wszystko, jeśli chodzi o SSH. Teraz przejdźmy do innych podstawowych zabezpieczeń.
#5: Zainstaluj Fail2Ban
Fail2Ban to wspaniałe oprogramowanie, które blokuje adresy IP, gdy próbują się zalogować zbyt wiele razy. Automatycznie aktualizuje zaporę sieciową Raspberry Pi, aby blokować potencjalnie złośliwe adresy IP.
Dlatego jest bardzo przydatny do zapewnienia bezpieczeństwa Raspberry Pi. Jest również bardzo lekki i zajmuje tylko około 3000 kB.
Tak więc po użyciu silnych haseł, skonfigurowaniu interfejsu SSH i zaktualizowaniu Raspberry Pi, zalecam zainstalowanie Fail2Ban.
Powinieneś zaktualizować ponownie:
sudo apt update && sudo apt upgrade
A potem uciekać:
sudo apt install fail2ban
Fail2Ban może robić wiele rzeczy i nie będę tutaj wchodził w szczegóły. Jeśli jesteś zainteresowany, możesz zagłębić się w pliki konfiguracyjne, przechodząc do /etc/fail2ban
.
Domyślna konfiguracja jest ustawiona na 5 nieudanych prób przed zablokowaniem adresu IP, a następnie adres IP jest blokowany na 10 minut.
Jest to świetny mały program do ochrony przed próbami złamania hasła. Teraz, gdy masz już to skonfigurowane, jest jeszcze jedna rzecz do zrobienia z Raspberry Pi 5.
#6: Utwórz kopię zapasową danych, poważnie
Ten krok jest równie ważny jak używanie dobrych haseł i niestety równie często ignorowany.
Karta SD może ulec awarii i nie jestem odosobniony w tym doświadczeniu.
Jedna z moich przyjaciółek przechowywała wiele ważnych rzeczy na karcie SD, a potem zawiodła ją żałośnie.
Nie bądź jak Anna. Zrób kopię zapasową swoich danych!
Przy okazji, jeśli chcesz dowiedzieć się więcej o kartach SD, które z nich powinieneś kupić i dlaczego zawodzą, zapoznaj się z tymi artykułami:
- Szybkość karty Micro SD w Raspberry Pi 5
- Klasyfikacja kart SD
- Jak działa pamięć flash?
- Jakie są klasy kart SD?
- Wszystko o kondycji kart SD na Raspberry Pi
Kup fajnie wyglądającą pamięć USB, użyj Dysku Google, użyj Dropbox. Ok, nie używaj tych dwóch ostatnich, jeśli naprawdę zależy ci na bezpieczeństwie, ale rozumiesz, o co mi chodzi!
Musisz chronić swoje dane i tworzyć ich kopie zapasowe. Zaufaj mi.
Wniosek
No i proszę. Oto 6 rzeczy, które powinieneś natychmiast zrobić ze swoim Raspberry Pi 5, aby zapewnić mu bezpieczeństwo.
Oczywiście ta rada obejmuje tylko podstawy. Ale gdy już to zrobisz, zapewnisz przynajmniej minimalny mur bezpieczeństwa dla swojego Pi 5.
Czy masz jakieś inne sposoby na zabezpieczenie swojego Pi? Daj nam znać w komentarzach!
Jaki jest najlepszy sposób na wykonanie kopii zapasowej karty SD, poza wyjęciem jej w celu skopiowania? Utrzymywanie Pi w trybie online.