Voraussetzung
Im gestrigen Beitrag pi3 – Installations Guide: Teil 1 wurde der RPi vorbereitet bis zum ersten ssh-Login, jetzt geht es weiter.
Man sollte denken, dass nun als erstes das System aktualisiert wird, aber dem ist nicht so. Der Standard-Benutzer Pi mit dem Passwort raspberry ist zu bekannt, und das ssh-Login haben wir erlaubt. Darum muss das als erstes geändert werden. Nachdem ich viele Seiten zum Absichern des Servers gelesen habe komme ich zu diesem Vorgehen.
- neuer USER1 anlegen, dieser bekommt sudo Rechte
- noch einen USER2 anlegen, (nur) dem wird der ssh-Login ermöglicht.
- der user Pi wird gelöscht.
Neuer USER1 anlegen
Auf Linux-Systemen gibt es adduser und useradd als Programm/Befehl um einen User anzulegen. Dabei ist useradd ein sehr einfacher Befehl, der seinen Job macht aber nicht komfortable. Komfortabler ist adduser. Dennoch haben beide ihre Berechtigung.
Mit sudo useradd USER1 -G sudo
legt man einen Benutzer USER1 an, der der Gruppe sudo zugeordnet ist, das ist wichtig, da wenn Pi gelöscht ist sonst niemand mehr root-Rechte haben könnte. Unser USER1 hat noch kein Passwort, das wird nun festgelegt.
sudo passwd USER1
fordert uns auf für den USER1 ein Passwort zu setzen.
USER2 anlegen
Diesen User legen wir mir adduser an. sudo adduser USER2
und sehen auch gleich, was sich unterscheidet. Der Befehl adduser verlangt Infos zum Benutzer und ein Passwort.
ssh-Login absichern
Damit ein ssh-Zugang klappt, muss auf dem Server, hier der RPi ein ssh-Dienst laufen, den kann man konfigurieren. Unter Linux-Systemen findet man die Konfigurationsdateien im Verzeichnis /etc und nur root kann sie bearbeiten. Zum Bearbeiten benutzen wir den Editor nano.
Ein sudo nano /etc/ssh/sshd_config
öffnet die Konfig-Datei in der folgende Anpassungen gemacht werden sollten.
- #PermitRootLogin prohibit-password – daraus machen wir ein PermitRootLogin no # root darf sich nicht einloggen
- LoginGraceTime 2m wird zu
LoginGraceTime 30 # das Login muss innerhalb von 30 Sekunden - AllowUsers USER2 # Vorsicht! jetzt kann sich nur noch USER2 anmelden.
Jetzt muss das System neu gestartet werden
sudo shutdown now -r
.
Ein Login ist nur noch mit USER2 möglich also ssh USER2@IP und das Passwort.
Ich habe meinen kleinen auch mal am Internet und bin deshalb noch vorsichtiger. USER2 ist der einzige der von außen auf das System darf/kann! Mein USER2 bekommt nun noch in .bashrc den Eintrag kein große History anzulegen
nano .bashrc
, hier kommt der Eintrag HISTSIZE=0 hinzu,
Außerdem soll beim logout die history gelöscht werde, damit keine Zeugnisse auf dem System beleiben.
nano .bash_logout
Diese Datei bekommt die Inhalte:
history -c
rm ~/.bash_history
User Pi löschen
Noch gibt es den Bentzer Pi, der wird nun gelöscht, dazu müssen wir ein sudo-Berechtigter USER werden.
su USER1
und jetzt Pi entferen
sudo systemctl stop autologin@tty1
sudo deluser -remove-home pi
Und in der Konfig-Datei des graphischen Login
sudo nano /etc/lightdm/lightdm.conf
wird aus autologin-user=pi ein #autologin-user=pi.
Das Kommentarzeichen # sorgt dafür, dass diese Zeile nicht bearbeitet wird.