Ein Raspberry Pi kann für viele Dinge sinnvoll verwendet werden. Da kann gerne einmal ein Mini – HTPC oder ein Netzwerkspeicher daraus resultieren. Viele Benutzer installieren sich auf dem Pi schnell einen Webserver anhand einer Anleitung und schalten auch direkt Port 80 im Router frei, sodass man auch bequem von unterwegs darauf zugreifen kann. Das geht "Ruck Zuck", schnell ist die Anleitung abgearbeitet und der (Web-)Server läuft.
Ich schreibe diesen Artikel als eine kleine Erinnerung, dass man die Sicherheit auf dem Raspberry Pi nicht aus dem Auge verlieren sollte…
Jedoch fällt auf, dass viele den Aspekt der Sicherheit nur kaum ins Auge fassen. Der Raspberry Pi ist ein Server und will demenstprechend auch administriert werden. Natürlich geht der Raspberry Pi im Vergleich zu "normalen" (v)Servern schneller in die Knie im Falle eines unbefugten Zugriffs, aber wenn (durch mäßige Sicherung) ein Unbefugter dennoch Zugriff erwirkt, ist das Geweine wieder groß. Nicht zuletzt, wenn man persönliche Daten auf dem Pi gespeichert hat. Und auch wenn der Zugriff des Unbefugten nicht geklappt hat, ein durch Überlast abgestürzter Raspberry Pi auch nicht gerade gesund für die Daten, die er beherbergt. Gerade beim Thema Webserver und Port 80 sollte man immer auf dem Laufenden bleiben. Ein Beispiel war ein Fall bei dem Webserver Nginx. Dieser findet aufgrund seiner leichten Bauweise auf dem Pi sehr oft Einsatz. In Nginx war eine Lücke entdeckt worden, bei dem durch Leerzeichen in der URL (Seitenadresse) Verzeichnisberechtigungen ausgehebelt werden konnten. Dies betraf Versionen 0.8.41 – 1.5.6. Hierzu ein interessanter Heise – Artikel: http://heise.de/-2050731 Laut der Nginx – Webseite wurde die Lücke inzwischen schnell geschlossen. Eine einfache Empfehlung wäre, dass man sich wirklich überlegt, ob man den Raspberry wirklich extern erreichbar machen will. Wenn unbedingt notwendig, sollte man sich über Möglichkeiten wie folgende informieren: – Zugangsberechtigungen
- Begrenzung und gegebenenfalls Blockierung verdächtiger Anfragen (z. B. mit Fail2Ban für Nginx: http://www.fail2ban.org/wiki/index.php/NginX)
- Wenn man z. B. nur von bekannten Orten (Freunde, Arbeit etc.) sich verbindet, könnte man eventuell die für die Verbindung erlaubten IP – Adressbereiche einschränken.
-
Softwarebestand bei externer Erreichbarkeit aktuell halten.
Natürlich gilt dieser Artikel auch für andere Ports und Serversoftware, die man auf dem Pi laufen lassen kann. Jede Software hat immer Lücken. Nur wenn man seine Software auf dem Pi auch korrekt administriert und ggf. Sicherheitslücken durch Updates schließt kann man dieses "Risiko" reduzieren, wenn der Pi von Außen erreichbar ist. > Wenn Du Anregungen zu diesem Thema hast, freue ich mich über einen Kommentar :).
