Hinweis: Diese Seite gibt meinen Wissensstand von ca. 2014 wieder und sollte heutzutage nicht mehr als Blaupause für das Anlegen eines Fileservers genutzt werden. Für eine Anleitung, die erst später veraltet sein wird, bitte die übergeordnete Seite betrachten. ;-) |
Wir folgen der Anleitung auf Arch Linux ARM um das Basissystem auf die SD-Karte zu bekommen. Wenn ich die so präparierte SD-Karte in den Raspberry Pi stecke und aufstarte, dann erhält er via DHCP von meinem DSL-Router eine IP-Adresse. Ich nehme an das wird bei den meisten ebenso sein. In dem Fall bleibt die Frage: welche Adresse ist das?
Diese Frage beantwortet uns der freundliche Portscanner nmap
(Ausgabe auf das Relevante
gekürzt):
$ nmap 192.168.2.0/24 Starting Nmap 6.46 ( http://nmap.org ) at 2014-08-09 20:15 CEST Nmap scan report for alarmpi (192.168.2.101) Host is up (0.016s latency). Not shown: 999 closed ports PORT STATE SERVICE 22/tcp open ssh Nmap done: 256 IP addresses (5 hosts up) scanned in 7.09 seconds
Jetzt können wir uns per SSH einloggen (Defaultzugang: root/root). Die Schlüssel werden übrigens bei jeder Installation neu generiert, sind also nicht weltweit bei allen Installationen gleich. ;-)
$ ssh root@192.168.2.101 The authenticity of host '192.168.2.101 (192.168.2.101)' can't be established. ECDSA key fingerprint is ad:44:ac:07:ac:63:80:f5:86:8c:85:ee:92:22:ef:4c. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '192.168.2.101' (ECDSA) to the list of known hosts. root@192.168.2.101's password: Welcome to Arch Linux ARM Website: http://archlinuxarm.org Forum: http://archlinuxarm.org/forum IRC: #archlinux-arm on irc.Freenode.net
Als Erstes ändern wir das root-Passwort, setzen einen neuen Hostnamen und fügen einen normalen User hinzu.
# echo filebox > /etc/hostname # passwd Enter new UNIX password: Retype new UNIX password: passwd: password updated successfully # useradd -g users -G wheel -m felix # passwd felix Enter new UNIX password: Retype new UNIX password: passwd: password updated successfully
Damit haben wir jetzt einen User felix
in der Gruppe users
, der aber auch in der
Gruppe wheel
drin ist (was z.B. Voraussetzung dafür ist, mit su
auf root wechseln
zu dürfen). Als Nächstes aktualisieren wir das System um Updates und Bugfixes zu bekommen. Ein Reboot
danach ist meistens notwendig, weil in der Regel auch ein neuer Kernel installiert wurde. Außerdem zeigt
durch den Neustart die Änderung des Hostnamens die erwünschte Wirkung.
# pacman -Syu [...] # reboot
Wenn alles geklappt hat können wir uns mit dem neuen User einloggen und mit su
auf den
root-Account wechseln.
$ ssh 192.168.2.101 felix@192.168.2.101's password: Welcome to Arch Linux ARM Website: http://archlinuxarm.org Forum: http://archlinuxarm.org/forum IRC: #archlinux-arm on irc.Freenode.net Last login: Sun Aug 10 01:51:55 2014 from blackbox $ su - Password: # whoami root
Wer den Remote-Zugang noch etwas sicherer machen möchte, der kann direkte Logins für root verbieten.
Der Gedanke dabei ist, dass ein Angreifer sich zunächst einen normalen User-Account unter den Nagel
reißen muss, bevor er sich von dort aus um den root-Account bemühen kann. Dazu wird die Datei
/etc/ssh/sshd_config
editiert:
# vi /etc/ssh/sshd_config PermitRootLogin no # systemctl restart sshd.service