Passwort für ssh-login?

[openWB]

Moment, das kam vielleicht falsch rüber.
SSH ist aktiv und das Passwort ein anderes.
Jeder der möchte bekommt auf Nachfrage das Passwort geändert.
Das ist bei uns dann hinterlegt.
Tauchen Probleme auf kann man die anders angehen. Sind sie selbstverschuldet werden sie in Rechnung gestellt.

Die User die in der Nightly am testen sind und Dinge auf Rückfrage tun mal ausgenommen. Das sind aber eben unter 1% der Nutzer.

Es erschwert halt unheimlich Fehlereingrenzung wenn jemand sagt er habe nichts per SSH gemacht und sich hinterher rausstellt das es eben doch der Fall war.

[hominidae]

Ah, ok...
Aber wieso kann selbst der "pi"-User solchen Schaden anrichten? Der hat ja keine root-Rechte...oder ist der für sudo freigegeben (bei mir hat es gerade im test auf der 1.7.356N nicht funktioniert).

[openWB]

Doch kann er, das ist "das Problem".

[yankee]

Was sollte ich noch machen, um das System abzusichern?

In einem internem Netz ist nichts.

Wenn du Sicherheitsbedenken hast wäre so oder so LAN zu empfehlen statt WLAN.

Das klingt so als nimmst du an, dass das LAN immer nur von den "Guten" bevölkert wird. Ich versuche natürlich auch so gut es geht mein LAN so zu halten, aber das hat seine Grenzen. Manchmal will ich mir halt die App xyz auf meinem Smartphone installieren und wenn die die Berechtigung "Internetzugriff" hat, kann die App mein komplettes Netzwerk scannen und beliebigen Unfug anrichten. Dummerweise ist das LAN und das WLAN miteinander verbunden. Wenn Freunde&Familie zu Besuch sind bekommen die auch mein WLAN-Passwort und hängen im Netz. Auch wenn die keine bösen Absichten haben, wer weiß was auf deren Geräten so läuft. Natürlich gibt es diverse Abwehrmaßnahmen, man kann sich einen managed-Switch hinstellen und VLANs konfigurieren etc. Das kann der IT-Profi ja machen, aber der Standardnutzer bekommt das Problem nicht mit und dann wundern sich die Leute, dass ihre Wallboxen Teil eines Botnetz sind und Spammails verschicken oder sich an DDoS-Attacken beteiligen.

Ich erwarte nicht, dass openWB ein Hochsicherheitsgerät wird, aber zumindest ein ssh-Zugang mit einem Standardpasswort macht es einem Angreifer dann doch etwas sehr einfach. Ich hoffe das neue Passwort (wo es jetzt nicht mehr "raspberry" ist), ist nicht einfach nur ein anderes Passwort welches auf allen Geräten gleich ist, aber eben nur euch bekannt ist? Weil sonst kann man einmal den Speicher aus dem raspberry entnehmen, mit einem anderen Computer die /etc/shadow auslesen, sich Rainbow-tables damit befassen lassen und dann hätte man ein Passwort für eine ganze Reihe Geräte die in Netzwerken hängen und praktischerweise 24/7 online sind, ein ideales Ziel für Botnetze. Solange nur eine handvoll OpenWBs da draußen sind, wird sich da kaum jemand für interessieren, aber wenn die Zahl steigt (was ich dem Projekt sehr wünsche), dann wird das ein interessantes Ziel für "die Bösen".

Sollte also die Philosophie "das LAN ist sicher" bestehen, möchte ich anregen zumindest für die "mächtigen" Schnittstellen dies zu überdenken. Wenn es jemand schafft jemanden zu ärgern indem er den Ladestrom verstellt ist das am Ende nur ein Ärgernis. Aber wenn es jemand schafft beliebige Software zu installieren wäre es schon etwas anderes.

[openWB]

Aus diesem Grund wurde das geändert.
Davon ab wird gerade einiges - sicherheitsrelevantes - überarbeitet.

Damit wird die openWB sicherer als die meisten anderen Geräte im lokalen Netzwerk.
Bedenkt mal die ganzen Receiver / TVs / IoT Geräte die zu hunderttausenden vorhanden sind.

[LutzB]

@Kevin
Kannst Du das bitte etwas weiter erklären?

[openWB]

Was genau meinst du?

[LutzB]

Na das war schon eine starke Aussage mit "sicherer als die meisten anderen Geräte im lokalen Netzwerk". Mich interessiert, welche Schwachstellen ihr identifiziert habe und was wie geändert werden wird. Hier sind sicher ein paar Leute unterwegs, die noch ein paar Tipps geben können.

[openWB]

Da gebe ich gerne Auskünfte drüber wenn es final gefixt ist

[JanBB]

Seid gegrüßt,

laut einem Heise-Artikel benötigt Pi-hole relativ wenig Ressourcen und daher würde ich es gerne zusätzlich zu OpenWB installieren. Hat jemand von euch bereits damit Erfahrungen gesammelt? Die Nightly würde ich die Tage dann installieren und das SSH-Passwort dann anfragen.

Wünsche euch ein sonniges Wochenende!