LINUX.ORG.RU

Обновление Raspbian с отключённым по умолчанию sshd

 ,


0

0

Разработчики Raspbian (форка Debian Jessie для Raspberry Pi) пошли на радикальные меры с целью обезопасить пользователей, пренебрегающих элементарными правилами безопасности, от взлома их устройств.

В последнее время было зафиксировано большое число атак на IoT-устройства, которые имели свободный доступ к Интернету, открытый порт SSH и (в случае с Raspbian) пользователя «pi» с паролем «raspberry», имеющего неограниченный доступ к системе посредством sudo.

В новых версиях Raspbian решено оставить пользователя pi со стандартным паролем, но выключить по умолчанию службу sshd. Если нет возможности произвести первичную загрузку и настройку с использованием монитора и клавиатуры, пользователю необходимо создать файл SSH (с произвольным содержанием) в каталоге /boot.

Помимо этого, при первом входе по SSH пользователь попадает в диалог смены пароля. Если загрузиться в окружение PIXEL (форк LXDE для Rasbpian) с включённым сервисом SSH, то пользователь получит уведомление о необходимости смены пароля.

Другие изменения:

  • Ядро Linux обновлено до версии 4.4, обновлены файлы прошивок.
  • Добавлен Adobe Flash Player.
  • В браузере Chromium стали доступны средства аппаратного ускорения воспроизведения видео.
  • Диалог настроек разбит на вкладки для удобства использования на небольших экранах.
  • В диалог настроек добавлена возможность отключения графической заставки при загрузке.
  • Диалог настроек теперь запрашивает текущий пароль при его изменении.
  • Из настроек удалена опция rastrack, добавляющая устройство и его координаты на карту.
  • Обновлена среда разработки Scratch.

Загрузить свежий образ:

>>> Примечания к релизу

>>> Подробности

★★★

Проверено: Shaman007 ()

«С заботой о ССЗБ» как говорится.

log4tmp ★★★ ()

Добавлен Adobe Flash Player

Но зачем?

CYB3R ★★★★★ ()

Если нет возможность произвести первичную загрузку и настройку > с использованием мыши и клавиатуры, пользователю необходимо
создать файл SSH (с произвольным содержанием) в каталоге

Не много не понял. А если есть мышь и клава ( а причем тут вообще мышь ) а нет монитора то как ?

mx__ ★★ ()
Ответ на: комментарий от log4tmp

А почему к примеру нельзя было вывесить иптаблес на 22 с срц 192.168.0.0/16 ?

mx__ ★★ ()
Ответ на: комментарий от mx__

Это уже к разработчикам. По мне так, это не самое лучшее решение проблемы.

log4tmp ★★★ ()

Про Flash Player можно отдельную новость. А поддерживает OpenMAX? А OpenGL ES? Супер просто. На один шаг в сторону полноценного компа стало больше! Не хватает только скайпа. Вот бы ещё я своей RPi ещё бы пользовался как десктопом :-)

Вопрос знатокам - как сделать переключение раскладок? Я сделал костыль: sh-файл на рабочий стол с setxkbmap. А значок в трее - xneur.

ZenitharChampion ★★★★★ ()
Ответ на: комментарий от ZenitharChampion

На один шаг в сторону полноценного компа стало больше!

Для меня Raspberry Pi и так давно полноценный комп с полноценным десктопом (в качестве которого я вижу то, что собираю в Pisaahriktux'е). И не надо никаких flash player'ов и скайпов.

saahriktu ★★★★ ()
Ответ на: комментарий от saahriktu

Для меня Raspberry Pi и так давно полноценный комп с полноценным десктопом (в качестве которого я вижу то, что собираю в Pisaahriktux'е). И не надо никаких flash player'ов и скайпов.

Чем ZX Spectrum и Commodore 64 не полноценные?

Moderators ()

В последнее время было зафиксировано большое число атак на IoT-устройства, которые имели свободный доступ к Интернету, открытый порт SSH и (в случае с Raspbian) пользователя «pi» с паролем «raspberry», имеющего неограниченный доступ к системе посредством sudo.

Лол. Мало кто знает, что буква S в аббривеатуре IoT означает security.

Zenom ★★★ ()
Ответ на: комментарий от Zenom

Бестолочи должны страдать. Оставить малину дефолтным логином/паролем и выходом наружу, это всё равно что голую задницу в форточку высунуть.

WRG ★★★★ ()
Ответ на: комментарий от CYB3R

Чтобы компенсировать устранение уязвимости.

Quasar ★★★★★ ()
Ответ на: комментарий от saahriktu

Найдена первая малинка с православной KOI8-R на борту, держите меня!

Anakros ★★★★ ()
Ответ на: комментарий от WRG

Чая этому оратору, а вот выдумывать костыли в виде создания файлов в /boot, не нужно.

shikata_ga_nai ()
Ответ на: комментарий от Moderators

Полноценные. Но, не для юниксового десктопа в современном понимании (многозадачность с жором проца и многих мегабайт оперативки и всё такое).

saahriktu ★★★★ ()

В браузере Chromium стали доступны средства аппаратного ускорения воспроизведения видео.

А как он работает в целом на Raspberry Pi? Он же сам для себя потребляет около 1 ГБ памяти.

Rinaldus ★★★★★ ()

гм, а по-моему — идиоты и лентяи должны страдать.

demidrol ★★★★ ()
Ответ на: комментарий от WRG

Бестолочи должны страдать. Оставить малину дефолтным логином/паролем и выходом наружу, это всё равно что голую задницу в форточку высунуть.

Страдают обычно не они, а пользователи всяких вордпрессов

MaZy ★★★ ()

А ограничить для ssh по дефолту сетями 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16, да зафорсить смену пароля при первом логине они не могли? Или они маны по pam и iptables не осилили?

ergil ★★★ ()

Уязвимость

Удалить все с корнями!

ritsufag ★★★★★ ()
Ответ на: комментарий от WRG

Страдают-то не бестолочи, а те, против кого ботнеты из подобных устройств используют. То, что создание небезопасной конфигурации искусственно усложнили — правильный и ответственный шаг со стороны создателей дистрибутива.

anonymous ()
Ответ на: комментарий от CYB3R

Ну, sshd ж выключили. Нельзя же все двери позабивать.

gag ★★★★★ ()
Ответ на: комментарий от saahriktu

Полноценные. Но, не для юниксового десктопа в современном понимании (многозадачность с жором проца и многих мегабайт оперативки и всё такое).

Да вот только к RPi это тоже относится не в меньшей степени. Без офиса и iTunes, не говоря уже о более сложных вещах, сейчас это калькулятор

Moderators ()
Ответ на: комментарий от saahriktu

Не всем нужны все эти офисы.

Нужны любому, кто чем-то мало-мальски занимается на компьютере

Moderators ()
Ответ на: комментарий от Moderators

Нужны любому, кто чем-то мало-мальски занимается на компьютере

Я работаю на компе 8 часов в день. Офисом не пользуюсь. Вообще.

unanimous ★★★★ ()
Ответ на: комментарий от unanimous

Я работаю на компе 8 часов в день. Офисом не пользуюсь. Вообще.

Не в смысле работы. Рано или поздно он тебе понадобится если ты чем-то мало-мальски занимаешься на компьютере

Moderators ()
Ответ на: комментарий от Moderators

Офисы нужны для форматированных документов. Если ненужны форматированные документы, то ненужны и офисы. А если нужны форматированные документы, то вместо офисов можно заюзать TeX. Документы в TeX'е набирать, генерировать PDF'ы и просматривать, кстати, можно вообще без графической среды, просто во фреймбуферовской консоли. Но, это если оно нужно.

А так все эти офисы больше похожи на конвертеры разных DOC/DOCX в PDF. И, опять же, не всем это нужно.

saahriktu ★★★★ ()

Я вот не пойму, это новости третьего или первого мира?

slon ()
Ответ на: комментарий от saahriktu

Если ненужны форматированные документы

Чай не 80-е на дворе
Слишком далеко дауншифтнул
Конечно, .accdb мало кому надо открывать и редактировать, но .xls и .doc - на каждом шагу, и ежели у вас нет такой потребности, то скорее всего, на компьютере вы занимаетесь пинанием воздуха

Moderators ()

Ядро Linux обновлено до версии 4.4, обновлены файлы прошивок.

он там давно

coyotl ()

идиоты, которые страдают от неспособности на минимальную настройку должны страдать

reprimand ★★★★ ()
Ответ на: комментарий от Moderators

но .xls и .doc - на каждом шагу

И? Есть xls2csv и catdoc. Ознакомиться с содержимым можно в любом случае. Офис жизненно нужен только тем, от кого требуют редактировать или писать отчётность в этих форматах без альтернатив - именно DOC и XLS - и точка. Бедные, бедные люди...

saahriktu ★★★★ ()

Разработчики Raspbian (форка Debian Jessie для Raspberry Pi) пошли на радикальные меры с целью обезопасить пользователей

меры - говно

надо было переписать все на rust

anonymous ()
Ответ на: комментарий от saahriktu

И? Есть xls2csv и catdoc.

Т.е. вы признаете, что офис нужен?

Офис жизненно нужен только тем, от кого требуют редактировать или писать отчётность в этих форматах

.odt никто не отменял, я не пропагандирую MS-форматы, я привел их, как самые ходовые, тем более офис уже лет 10 как .odt понимает

Moderators ()

Я даже не знаю, смеяться или плакать.

a1batross ★★★★★ ()
Ответ на: комментарий от saahriktu

Rust'а нет на ARM'ах. Он x86/x86_64 only.

еще с 13 года всё портировано на ARM

ты просто не в курсе и завидуешь безопасным программам

anonymous ()
Ответ на: комментарий от slon

Я вот не пойму, это новости третьего или первого мира?

мира сегфолтов и небезопасности, должно быть больше раста в новостях

anonymous ()
Ответ на: комментарий от Moderators

Т.е. вы признаете, что офис нужен?

Это не офис. Это конверторы из чужеродных форматов.

.odt никто не отменял

Не отменял. Но, если есть выбор формата, то можно создавать отчётность в TeX'е и генерировать PDF'ы. Если вообще нужно создавать форматированную отчётность.

saahriktu ★★★★ ()
Ответ на: комментарий от anonymous

еще с 13 года всё портировано на ARM

Нет, свежие версии при попытке сборки на ARM'ах ругаются на неизвестную архитектуру.

saahriktu ★★★★ ()

В последнее время было зафиксировано большое число атак на IoT-устройства, которые имели свободный доступ к Интернету, открытый порт SSH и (в случае с Raspbian) пользователя «pi» с паролем «raspberry», имеющего неограниченный доступ к системе посредством sudo.

Вот они, ъ-энтерпрайз админы!

darkenshvein ★★ ()
Последнее исправление: darkenshvein (всего исправлений: 2)
Ответ на: комментарий от saahriktu

Это не офис. Это конверторы из чужеродных форматов.

Какие такие «чужеродные» форматы? Компьютеру глубоко пофиг на какие-либо форматы. Тут как раз таки подтверждаются мои слова о калькуляторе

создавать отчётность в TeX'е и генерировать PDF'ы

Какая отчетность? Это совершенно обыденные вещи даже для школьников! И что это за извращения? Вот где изврат. А еще офис ему не нужен, хех

Moderators ()
Ответ на: комментарий от saahriktu

Нет, свежие версии при попытке сборки на ARM'ах ругаются на неизвестную архитектуру.

значит надо портировать ARM на rust, а то взяли моду на небезопасные архитектуры с сегфолтами

anonymous ()
Ответ на: комментарий от Moderators

Это совершенно обыденные вещи даже для школьников!

Для каких школьников? В моё время в школах изучали булеву алгебру и основы алгоритмизации на QBasic'е. Под MS DOS'ом. Если после выполнения заданий оставалось время, то можно было запустить обычно незапускаемый Win 3.11. Нигде не было никаких офисов. Машины в классе, кстати, были i286 и i386.

А офисные пакеты уже ближе к курсу оператора ЭВМ. Просто потому, что работать за компом разным людям приходится по-разному, и кто-то может столкнуться с офисными пакетами. Может. А может и нет.

Какие такие <<чужеродные>> форматы?

Проприетарные ненужные форматы. ODT не проприетарен, но просто ненужен.

saahriktu ★★★★ ()
Последнее исправление: saahriktu (всего исправлений: 1)

с целью обезопасить пользователей, пренебрегающих элементарными правилами безопасности
Добавлен Adobe Flash Player.

Вот это да...фигня какая то....

Odalist ★★★★★ ()
Ответ на: комментарий от Moderators

Какая отчетность? Это совершенно обыденные вещи даже для школьников! И что это за извращения? Вот где изврат. А еще офис ему не нужен, хех

ну может в твоем OOO «рога и копыта» все в офисах сидят, это не работа, а перекладывание бумажек про попилы.

я работаю без офисов ваших, хотя документация это огромная часть работы, для многих видов документации есть на выбор шаблоны latex, требуют все в pdf, а не в непонятно чем. конечно можно в офисе делать, но вопрос - зачем ???

да я не люблю koi8-r и фреймбуферной консоли мне маловато, теже диаграммы не запилить, не говоря уже о просмотре pdf (кстати в однобайтной кодировке нормально даже текст не посмотришь, только православный наверное).

в целом raspberry pi хватает, но 1. маловато памяти тк иногда чтобы документацию или статью почитать тебе зальют тонны говноjs, 2. запустить виртуалочку не выйдет. так что для части работ оно покатит более чем.

alwayslate ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.