Raspberry Pi på nettet

[TJ]

Jeg overvejer at give mig selv en Raspberry Pi i tidlig julegave... ;-)
Den skal i givet fald kunne bruges via en terminal (SSH) over
internettet når jeg er hjemmefra. Den skal ikke køre servere, ud over SSH.

Den kommer til at stå bag en Thomson router (Stofa internet), hvor
planen er at bruge port forwarding til at sende SSH trafikken til rpi.
Men hvor "sikker" er sådan en port forwarding?

Står og falder sikkerheden i om jeg får sikret rpi'en godt nok? Eller er
en port forwarding i sig selv en risiko?

Kan man sikre en rpi godt nok til at den ikke vil være en risiko for
resten af mit LAN? Jeg skal ikke køre mail- og web-servere eller noget,
så jeg kan formentlig lave en ret restriktiv firewall, der kun tillader
SSH, og formentlig kan jeg også sætte rpi'en op til ikke at tillade root
via SSH. Men er det nok?

--
Thomas Jensen
www.sejlgarnet.dk

[Hans Jørgen Jakobsen]

On Fri, 31 Oct 2014 19:22:02 +0100, TJ wrote:
> Jeg overvejer at give mig selv en Raspberry Pi i tidlig julegave... ;-)
> Den skal i givet fald kunne bruges via en terminal (SSH) over
> internettet når jeg er hjemmefra. Den skal ikke køre servere, ud over SSH.
>
> Den kommer til at stå bag en Thomson router (Stofa internet), hvor
> planen er at bruge port forwarding til at sende SSH trafikken til rpi.
> Men hvor "sikker" er sådan en port forwarding?

1) at den faktisk forwarder til rpi's ssh port
2) at den ikke kommer til at forwarder til en anden ip.
3) at den ikke går død
Det er ikke rocket science, men det er før set at simple ting kan gå galt.

>
> Står og falder sikkerheden i om jeg får sikret rpi'en godt nok? Eller er
> en port forwarding i sig selv en risiko?

Jeg ser ingen særlig risiko ved portforwarding. Men ssh vil stadig være den
samme risiko. Brug laange passwd eller key!!!
Brug af anden port end port 22, skulle hjælpe lidt på at der bliver testet
kendte brugernavne og passwd.

>
> Kan man sikre en rpi godt nok til at den ikke vil være en risiko for
> resten af mit LAN? Jeg skal ikke køre mail- og web-servere eller noget,
> så jeg kan formentlig lave en ret restriktiv firewall, der kun tillader
> SSH, og formentlig kan jeg også sætte rpi'en op til ikke at tillade root
> via SSH. Men er det nok?

Hvad vil du lave af restriktioner i fw? Der kan vist ikke laves ret meget indad.
Ved du at du kun vil lave acces fra et antal kendte adresser?

Nogen er parnoide og laver dynamisk opdatering af fw med blacklistede ip-adresser,
der har banket for meget på.
Andre har lavet "sjov" med at man skal først banke på en port for at kunne få adgang
derefter til sshd...

Overvej en sshd til extern acces med kraftige restrektioner. En anden sshd, der kun
nåes indefra kan måske have færre restrektioner...

Sørg for at holde softwaren opdateret. sshd og det der kommer i sving ved loginforsøg!
/hjj
>

[Glenn]

Nyhed 194kr (ved ikke om det er m/u moms) kan hentes på Nørrebro hvis du
ikke vil betale for pakkeforsendelse:
Raspberry Pi B+:
http://dk.rs-online.com/web/p/processor-og-mikrocontroller-udviklingssaet/8111284/

23.5.2013, Is The Raspberry Pi Secure?:
http://www.viruss.eu/malware/is-the-raspberry-pi-secure/

10th June 2013, Raspberry Pi and SSH: An in depth tutorial:
http://blog.tomszpytman.com/raspberry-pi-ssh-in-depth-tutorial

November 18, 2012, Creating a Public Web Server on Raspberry Pi:
http://alexdberg.blogspot.dk/2012/11/creating-public-web-server-on-raspberry.html

Jun 04, 2014, [Please help!] Internet speed, torrents, xbmc - please read!:
http://www.raspberrypi.org/forums/viewtopic.php?f=28&t=78780
"...
I got into debugging on my internet firewall and realized that the issue
was that the xbmctorrent client is initiating so many connections that
I'm literally out of connection slots on the firewall - when I tried to
do a DNS query, I was not able to address translate from the LAN so I
could get that request out!
I resolved by applying a per-host session limit on the firewall itself
(at 512 sessions per host.)
I tried a bit to look at doing something similar in iptables. My
impression is that it helped, but I did not pursue it as the firewall
mod is more stable for me.
..."

Use Raspberry Pi only in local network:
http://raspberrypi.stackexchange.com/questions/14381/use-raspberry-pi-only-in-local-network

6 Aug 2014, Internet of things is hackable:
http://www.itweb.co.za/?id=136697:Internet-of-things-is-hackable
Citat: "...
Some people have even taken to hacking IOT devices, with blogger Ross
Mason turning hacking into a hobby. He has already hacked Google Glass
and Raspberry Pi, among other more seemingly innocuous items, such as
light bulbs.
..."

Your own cloud server with Owncloud on the Raspberry Pi:
http://blog.petrockblock.com/2012/08/15/your-own-cloud-server-with-owncloud-on-the-raspberry-pi/

http://owncloud.org/

Raspberry Pi:
http://wiki.openwrt.org/toh/raspberry_pi

-

28. april 2014, Sådan bygger du en smartphone med Raspberry Pi.
David Hunt, der tidligere har bygget en bjæf-aktiveret døråbner til
hunde, barsler med en hjemmebygget smartphone bygget med Raspberry Pi og
hyldevarer.
http://www.version2.dk/artikel/saadan-bygger-du-en-smartphone-med-raspberry-pi-58112
"...
Den benytter et SIM900 GSM/GPRS modul, hvor du kan sætte et simkort i,
og som håndterer opkald og sms. Når telefonen bliver tændt, booter
PiPhonen fra Raspbian operativsystemet. Frem kommer et numerisk tastatur
- det tager lidt tid at få den igang.
..."
Assembled with strips:
Apr 25 2014, PiPhone – A Raspberry Pi based Smartphone:
http://www.davidhunt.ie/piphone-a-raspberry-pi-based-smartphone/
Citat: "...
PiTFT Touchskærm - 189 kroner
...
SIM900 GSM/GPRS modul - 259 kroner
...
[Comments]
...
Hi, It’s all done in Python. I’ll be publishing the code next week.
...
yes. the GTA04 by dr schaller with the 1 ghz OMAP is definitely enough,
even to cope with the mess that is d-bus. it was just such a pity that
they spent so much money on the GTA01 to *not* get it right… at the time
...
For better software, you can try freesmartphone.org middleware (with
Zhone, SHR or Aurora as its GUI), QtMoko or maybe PyNeo. It’s all free
software and given that your module uses basic AT commandset, it should
more or less work out of box on your “device” and instantly give you
full telephony, messaging and networking support.
..."

Raspberry Pi Caller and Answering Machine:
http://binerry.de/post/29180946733/raspberry-pi-caller-and-answering-machine
Citat: "...
Both tools work so far but currently they are in alpha state and more
“proof of concept" than final. Feel free to play a bit around, test or
extend them. Please let me know if you have improvements, especially for
the current sound problems.
..."
Introduction to Home Automation with Raspberry Pi and Fhem:
http://binerry.de/

29th November 2013, Build your OWN Apple iBeacon with a Raspberry Pi.
DIY Bluetooth LE zone tracking.
http://www.theregister.co.uk/2013/11/29/feature_diy_apple_ibeacons/

-

14. juli 2014, Her er den ny Raspberry Pi B+.
Folkene bag Raspberry PI har lanceret en opgraderet version af sin
populære gør-det-selv-computer med flere forbedringer.
http://www.version2.dk/artikel/her-er-den-ny-raspberry-pi-b-67854

-

Den fås også senere med 7 tommer touchscreen:

22. oktober 2014, Raspberry Pi får touchscreen.
Med en syv tommer skærm kan du bygge en tablet eller blot udvide
mulighederne med de eksisterende mikrocomputere.
http://www.version2.dk/artikel/populaert-elektronik-byggesaet-faar-touchscreen-69120
Citat: "...Du kan bruge den som en tyk ipad - en såkaldt Pi-pad...."


Oct 21, 2014, Raspberry Pi Founder Shows Off Incoming Touch Panel For
Making DIY ‘Pi Pads’:
http://techcrunch.com/2014/10/21/pi-pads/?ncid=rss
Citat: "...
He showed off the seven inch VGA capacitive touch panel that’s designed
to be combined with a Pi to build what would be a rather chunky tablet,
but a tablet nonetheless.
..."

.

Kan du ikke vente, kan du se her hvad andre har lavet:

January 2, 2014, PiPad Build:
http://mkcastor.com/2014/01/02/pipad-build/

January 7th, 2014, How I Built a Raspberry Pi Tablet:
http://makezine.com/2014/01/07/how-i-built-a-raspberry-pi-tablet/

Glenn

[Glenn]

On 31/10/14 20.29, Glenn wrote:
> On 31/10/14 19.22, TJ wrote:
>> Jeg overvejer at give mig selv en Raspberry Pi i tidlig julegave... ;-)
>> Den skal i givet fald kunne bruges via en terminal (SSH) over
>> internettet når jeg er hjemmefra. Den skal ikke køre servere, ud over
>> SSH.
>>
>> Den kommer til at stå bag en Thomson router (Stofa internet), hvor
>> planen er at bruge port forwarding til at sende SSH trafikken til rpi.
>> Men hvor "sikker" er sådan en port forwarding?
>>
>> Står og falder sikkerheden i om jeg får sikret rpi'en godt nok? Eller er
>> en port forwarding i sig selv en risiko?
>>
>> Kan man sikre en rpi godt nok til at den ikke vil være en risiko for
>> resten af mit LAN? Jeg skal ikke køre mail- og web-servere eller noget,
>> så jeg kan formentlig lave en ret restriktiv firewall, der kun tillader
>> SSH, og formentlig kan jeg også sætte rpi'en op til ikke at tillade root
>> via SSH. Men er det nok?
>>
>
>
>
> Nyhed 194kr (ved ikke om det er m/u moms) kan hentes på Nørrebro hvis du
> ikke vil betale for pakkeforsendelse:

> Raspberry Pi B+ [8GB SD koster separat 76kr http://dk.rs-online.com/web/p/secure-digital-kort/8209791/ ]:
> http://dk.rs-online.com/web/p/processor-og-mikrocontroller-udviklingssaet/8111284/
...

Man kan også købe andre steder:




336kr (ingen SD):
http://www.let-elektronik.dk/let-elektronik/microcontroller-boards/raspberry-pi/raspberry-pi-model-b.html
(
http://www.let-elektronik.dk/let-elektronik/microcontroller-boards/raspberry-pi.html
)

389kr (8GB SD):
http://raspberrypi.dk/produkt/raspberry-pi-model-b-plus-med-8gb-micro-sd-kort-noobs/

-

https://learn.sparkfun.com/tutorials/setting-up-raspbian-and-doom

Glenn

[TJ]

Wou, 1.000 tak for de links. Der er vist læsning til et par dage... :-)

--
Thomas Jensen
www.sejlgarnet.dk

[TJ]

Den 31-10-2014 kl. 20:21 skrev Hans Jørgen Jakobsen:
> On Fri, 31 Oct 2014 19:22:02 +0100, TJ wrote:

> Jeg ser ingen særlig risiko ved portforwarding. Men ssh vil stadig være den
> samme risiko. Brug laange passwd eller key!!!
> Brug af anden port end port 22, skulle hjælpe lidt på at der bliver testet
> kendte brugernavne og passwd.

Jep!

> Hvad vil du lave af restriktioner i fw? Der kan vist ikke laves ret meget indad.

Jeg ved præcis hvordan det skal se ud, men jeg burde vel kunne blokere
for alt andet end port 22 (som måske bliver ændret til noget andet)? Det
kigger jeg på når jeg når så langt.

> Ved du at du kun vil lave acces fra et antal kendte adresser?

Ja, en enkelt eller et meget lille range.

>
> Nogen er parnoide og laver dynamisk opdatering af fw med blacklistede ip-adresser,
> der har banket for meget på.
> Andre har lavet "sjov" med at man skal først banke på en port for at kunne få adgang
> derefter til sshd...

Lyder spændende... :-)

>
> Overvej en sshd til extern acces med kraftige restrektioner. En anden sshd, der kun
> nåes indefra kan måske have færre restrektioner...
>
> Sørg for at holde softwaren opdateret. sshd og det der kommer i sving ved loginforsøg!

Super. Tak for dit svar.


--
Thomas Jensen
www.sejlgarnet.dk

[Glenn]

Hej TJ

Bemærk at Raspberry Pi A og B benytter standardstørrelse SD-kort eller
SDHC-kort helst class 10.

Bemærk at Raspberry Pi B+ benytter størrelse microSD-kort eller
microSDHC-kort helst class 10.

Start med et færdigt kort til Raspberry Pi.

-

Senere kan du se på følgende:

Man kan købe microSD(HC)-kort med mini og standardstørrelse adaptor.
Helst (micro)SDHC og class 10.

http://www.edbpriser.dk/tilbehoer/hukommelseskort.aspx

Men det kræver at du kan reformattere kortet. Kig på vejledningerne:

http://www.google.dk/search?q=site%3Araspberrypi.org+format+sd-card

Fx:
http://www.raspberrypi.org/forums/viewtopic.php?f=91&t=65704

Glenn

[Glenn]

On 31/10/14 21.27, TJ wrote:
...

>>
>> Nogen er parnoide og laver dynamisk opdatering af fw med blacklistede
>> ip-adresser,
>> der har banket for meget på.
>> Andre har lavet "sjov" med at man skal først banke på en port for at
>> kunne få adgang
>> derefter til sshd...
>
> Lyder spændende... :-)

...

Det er vist dette:

http://www.google.dk/search?q=port+knocking+ssh+raspberry

Configure the port knocking server (knockd)?:
http://raspberrypi.stackexchange.com/questions/7463/configure-the-port-knocking-server-knockd

Men det virker selvfølgelig kun udefra hvis banke-portene også
port-forwardes.

Glenn

[TJ]

Den 31-10-2014 kl. 22:00 skrev Glenn:

> Bemærk at Raspberry Pi B+ benytter størrelse microSD-kort eller
> microSDHC-kort helst class 10.

Fint du siger det. Det var jeg ikke lige opmærksom på.

> Start med et færdigt kort til Raspberry Pi.

Jeg har lige bestilt en B+ uden kort, fordi jeg tænkte jeg selv kunne
downloade image og flashe kortet. Jeg er Linux-mand og har det fint med
dd... ;-)



--
Thomas Jensen
www.sejlgarnet.dk

[Benny]

Glenn wrote:
> Nyhed 194kr (ved ikke om det er m/u moms) kan hentes på Nørrebro hvis du
> ikke vil betale for pakkeforsendelse:
> Raspberry Pi B+:
> http://dk.rs-online.com/web/p/processor-og-mikrocontroller-udviklingssaet/8111284/

Der er ingen butik længere på Vibevej:
http://dk.rs-online.com/web/generalDisplay.html?id=om-RS&file=kontakt-os

Mvh

[Glenn]

On 31/10/14 20.21, Hans Jørgen Jakobsen wrote:
...

> Nogen er parnoide og laver dynamisk opdatering af fw med blacklistede ip-adresser,
> der har banket for meget på.

...
> /hjj
>>

Hej Hans Jørgen

Det er ikke paranoidt at benytte fx fail2ban (og flytte servicen til en
4-5 cifret port).

December 14, 2012, 5 Best Practices to Secure and Protect SSH Server:
http://www.tecmint.com/5-best-practices-to-secure-and-protect-ssh-server/

2009, Top 20 OpenSSH Server Best Security Practices:
http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html

Glenn