Hallo Leute,
kann ich den user PI auf dem RasPi einfach löschen, oder läuft dann mein Fhem nicht mehr ???
Grüsse Jens
Der User pi hat mit fhem nichts zu tun, aber warum willst Du den löschen?
Hast Du Dir Gedanken gemacht/Vorbereitungen getroffen, damit Du Dich danach auch weiterhin per ssh zum Raspberry verbinden kannst?
Ich weis von dem User PI das Passwort nicht.
Mache gerade alles als root :-(
Ja, habe ich....
Neuen User angelegt mit SUDO rechten. Das ist nicht der Standard PI user, den jeder kennt. Wenn ich übers I-Net auf meinen Raspi zugreife ist es besser wenn es kein Standard user gibt.
Den Root-User möchte ich dann auch sperren.
Jens
Als root kannst Du das Passwort eines jeden Users einfach löschen oder ändern, der Befehl dazu heisst passwd
man passwd
liefert Dir die Gebrauchsanweisung :)
Und wenn man über Internet auf den Raspberry zugreifen möchte, sollte man das ohnehin nicht per User&Password tun sondern mit Zertifikaten zur Authentifizierung.
Vor allem:
So wenig wie möglich erreichbar machen. Was nicht erreichbar ist, kann nicht gehackt werden!
Danke für den Tipp mit passwd. Das werde ich noch testen.
Genau... Ich möchte auf den PI von "Aussen" gar nicht zugreifen. deshalb möchte ich den User Pi auch löschen und den root deaktivieren.
Grüssle Jens
Wenn Du extern nicht zugreifen können möchtest .. warum hast Du dann ssh extern offen?
Na ich greife von Zuhause auf den Pi.
Von aussen möchte ich nur auf Fhem zugreifen. Auf den Pi direkt nicht. Deshalb dachte ich den Pi zu löschen und den Root zu sperren.
Gesendet von meinem C6603 mit Tapatalk
Dann verbiete doch dem ssh den externen Zugriff, bzw. die externe Erreichbarkeit.
ABER ... Dir ist klar, das fhem nicht gerade "sicher" ist? besser währe es, auch fhem nicht extern erreichbar zu machen, sondern über VPN oder andere Tunnel-Lösungen. Schon ein Apache-proxy (mit Passwort) erhöht deutlich die Sicherheit.
Mal eine andere Frage:
Warum ist der Pi den komplett extern erreichbar? Hast Du im im router als "DMZ" eingerichtet? Dagegen würde ich Dir eher vorschlagen, mit Portforwarding zu arbeiten ..
Ich glaube Ihr sprecht an einander vorbei. Der Threadersteller meint mit Pi den User, Werniemann meint wohl den RasberryPi also das den Computer ;D ;D
Zitat von: jensweber am 21 September 2015, 13:17:59
Deshalb dachte ich den Pi zu löschen und den Root zu sperren.
ein völlig sinnloses Unterfangen, das nur jemandem einfallen kann, der die Sicherheitskonzepte von Netzwerkverbindungen und von Linux offenbar noch nicht ansatzweise verstanden hat :(
Ja von Linux habe ich sicherlich zu wenig Ahnung.
Den User Pi nicht zu verwenden und den Root zu sperren wurde auf einen Expertenseite empfohlen.
Der SSH Zugang für root sollte grundsätzlich immer untersagt sein - das ist soweit richtig.
Aber ob ein "anderer" User nun "pi" oder "walter" oder "donnerstag" heißt, ist ziemlich unerheblich. Entscheidend ist, wie der Zugang dieses Users gesichert ist und welche Rechte dieser User besitzt.
Übrigens - fhem läuft in aller Regel unter dem User "fhem" - und den hast Du überhaupt nicht selbst angelegt ;)
Ich glaube, wir fangen besser anders herum an:
Wie ist denn Dein Netzwerk aufgebaut?
Blöderweise stehen auf fielen Seiten bezüglich Linux-Sicherheit sehr viel "Schrott" ... wie schon oben geschrieben:
Wenn Du SSH nicht aus dem Netz brauchst, solltest Du es auch nicht aus dem Netz erreichbar machen.
Der Raspberry Pi ist an der Fritzbox angeschlossen. Im Moment habe ich an der Fritzbox keinen Port geöffnet.
Leider kann ich nicht einfach eine VPN Verbindung z.B. vom Handy aus machen, da ich einen Kabelanschluss bei Unitymedia habe und keine IPV4-Adresse bekomme. Es ist ein DS-Lite Anschluss und einer IPV6-Adresse. So wie es aussieht müsste ich einen Port auf der Fritzbox aufmachen und dann über einen Tunnel-Broker eine Verbindung herstellen. Eine VPN-Verbindung direkt auf die Fritzbox geht dann aber wohl auch nicht.
Aus dem Internet muss ich denke ich nicht direkt auf den RasPI zugreifen. Möchte nur auf FHEM und meine NAS zugreifen können.
Ich habe versucht im Netz sinnvolle Einstellungen zu finden um den RasPI und mein Netzwerk so gut wie möglich abzusichern. Ist aber wohl nicht so einfach das "richtige" zu finden.
- Ich habe jetzt dem User PI, durch der Tipp, ein richtiges neues Passwort zuweisen können.
- den SSH vom root User habe ich gesperrt (PermitRootLogin no).
Hallo,
also wenn "adduser" einen neuen user erzeugt, würde ich es mal mit deluser oder rmuser versuchen. Ist nur so eine Idee. Einen "normalen" User sollte es aber auf dem Raspi geben - egal wie der heißt. Außerdem würde ich mir die Gruppen vom user pi merken, damit der neue user die gleichen Berechtigungen bekommt. Google mal nach einer Grafischen Userverwaltung - die sollte es auch für LXE geben.
Gruß Christoph
Es ist ein DS-Lite Anschluss und einer IPV6-Adresse.
Wie kommst Du dann (jetzt) auf Deine Rechner von extern?
Im moment noch gar nicht :'( :'(
Es soll über einen Portmapper funktionieren, der IPV6-IPV4 übersetzt. z.B. bei Sixxs.net oder feste-ip.net
Wenn Du eine Portmapper / Portweiterleitung einrichtest, kannst DU doch einfach den ssh-Port für extern nicht weiterleiten?
Dann ist einloggen per ssh von extern, wie von Dir gewünscht, nicht möglich.
Und .. falls ssh mal ein Security-Problem bekommen solltest, bist Du erstmal vor direkten Angriffen geschützt.
Sonst ... solltest Du etwas mehr security (und Update-Logig) für sshd investieren ...
es gibt auch dyndns-Dienste für ipv6 8)
Ja schon, aber mit dem Handy funktioniert dann kein Zugriff bzw. VPN Tunnel