Новый выпуск Raspbian c изменениями, направленными на усиление безопасности

01.12.2016 12:37

Разработчики проекта Raspberry Pi опубликовали обновление дистрибутива Raspbian. Для загрузки подготовлены две сборки - сокращённая (293 Мб) для серверных систем и полная (1.4 Гб), поставляемая с пользовательским окружением PIXEL (ответвление от LXDE). Обновление примечательно реализацией ряда мер для повышения безопасности.

До сих пор Raspbian поставлялся с включенным SSH и аккаунтом по умолчанию (логин pi, пароль raspberry), допускающем выполнение привилегированных операций через sudo. В случае беспечности пользователя, не сменившего пароль, при подключении устройств к глобальной сети настройки по умолчанию приводили к существенным проблемам с безопасностью и высокой вероятности захвата контроля над устройством злоумышленниками. В свете участившихся автоматизированных атак на потребительские устройства стало невозможным продолжать предлагать подобные настройки. Но и отказаться от учётной записи по умолчанию разработчики оказались не готовы, так как такой шаг существенно бы усложнил работу для начинающих, которым предоставлена возможность просто загрузить устройство и сразу начать работу с ним.

В новом выпуске Raspbian разработчики попытались найти разумный компромисс и отключили по умолчанию сервис SSH. Для тех кто не имеет возможность провести первичную настройку, подключив к устройству клавиатуру и монитор, реализована опция для быстрого и простого включения SSH. Для активации SSH достаточно открыть загрузочную SD-карту в любой операционной системе и создать в директории /boot файл "SSH". Содержимое файла не имеет значение, на этапе загрузки Raspbian проверяет наличие данного файла и если он есть активирует сервер SSH.

Отказаться от учётной записи по умолчанию разработчики не решились, но для привлечения внимания к проблеме реализовали назойливые предупреждения, выводимые при каждом входе, если пользователем не был установлен новый пароль. Например, в случае включения SSH при запуске графического сеанса выводится специальный диалог с предложением сменить пароль, а при первом входе через консоль пользователю выводится приглашение для установки нового пароля. Кроме того, не сменив пароль по умолчанию теперь невозможно запустить графический конфигуратор.

Из других изменений в новом выпуске Raspbian можно отметить:

Обновлено ядро Linux и файлы прошивок;
В сборку с графическим окружением добавлен Adobe Flash Player;
В браузере Chromium, задействованы средства для аппаратного ускорения воспроизведения видео;
В настройки добавлена возможность отключения графической заставки;
Диалог с настройками разбит на вкладки и адаптирован для экранов с небольшим разрешением;
Обновлена версия среды Scratch;
Из настроек удалена опция Rastrack.

исправить +7 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/45598-raspbian

Ключевые слова: raspbian

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (31)

1.1, Аноним (-), 12:47, 01/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	–7 +/–
>В случае беспечности пользователя, не сменившего пароль, при подключении устройств к глобальной сети настройки по умолчанию >отключили по умолчанию сервис SSH Ну вот опять, борются не с причиной, а со следствием. ССЗБ сами заслижили, что их устройства "выставленные голой жопой в интернет" ломанули по дефолтному логину/паролю.

2.6, J.L. (?), 14:08, 01/12/2016 [^] [^^] [^^^] [ответить]	+1 +/–
>>В случае беспечности пользователя, не сменившего пароль, при подключении устройств к глобальной сети настройки по умолчанию >>отключили по умолчанию сервис SSH > Ну вот опять, борются не с причиной, а со следствием. ССЗБ сами > заслижили, что их устройства "выставленные голой жопой в интернет" ломанули по > дефолтному логину/паролю. вы не правы, а у парней теперь правильный подход

2.13, Анончик (?), 15:09, 01/12/2016 [^] [^^] [^^^] [ответить]	+2 +/–
А всего-то надо было не пустой файл SSH в корень попросить кидать, а с ssh-ключом.

2.16, Аноним (-), 15:41, 01/12/2016 [^] [^^] [^^^] [ответить]

+2 +/–

> заслижили, что их устройства "выставленные голой жопой в интернет" ломанули по
> дефолтному логину/паролю.

А те кому терабитные ддосы с этого летят чем это заслужили? В общем поставлять девайс с стандартным логином/паролем если девайс могут выставить в WAN - безответственно со стороны разработчика. И создание подляны юзерям.

Пример: в openwrt если ты вообще захочешь что-то в WAN высунуть - ты таки сначала пойдешь и сменишь пароль. Иначе там нет ни ssh ни телнета и работает только LAN вообще.

1.2, Аноним (-), 12:48, 01/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Плавное превращение в винду

2.19, Zenitur (ok), 16:03, 01/12/2016 [^] [^^] [^^^] [ответить]	+/–
Знаешь, интерфейс Pixel ест меньше ста Мб ОЗУ. И это несмотря на systemd. Так что ты не прав.

1.3, Аноним (-), 13:01, 01/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
смог поставить на малинку 25 федорку и очень доволен. Расбипан постоянно ввергал меня в депенденси хелл.

2.9, Shichael Migorin (?), 14:15, 01/12/2016 [^] [^^] [^^^] [ответить]	+1 +/–
так там ни звука нет по хдми, ни вай фай

3.11, Аноним (-), 14:37, 01/12/2016 [^] [^^] [^^^] [ответить]	+/–
Зато шляпа!

4.17, Аноним (-), 15:42, 01/12/2016 [^] [^^] [^^^] [ответить]	+2 +/–
> Зато шляпа! Так потому и шляпа...

3.29, анонимно (?), 01:14, 02/12/2016 [^] [^^] [^^^] [ответить]	+/–
Мне это под мои задачи оказалось не нужно. Я даже и не знал что это не работает. Заливал образ server.

1.4, Аноним (-), 13:05, 01/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	+14 +/–
1. ...c изменениями, направленными на усиление безопасности 2. ...добавлен Adobe Flash Player; 3 !!! :-)

2.5, Аноним (-), 14:01, 01/12/2016 [^] [^^] [^^^] [ответить]	+3 +/–
> 2. ...добавлен Adobe Flash Player; КАГ??? Неужели одобэ соизволила?

3.31, Zenitur (ok), 19:46, 02/12/2016 [^] [^^] [^^^] [ответить]	–1 +/–
Похоже что соизволила для ChromeOS. А разработчики Raspbian взяли оттуда

2.18, Андрей (??), 16:02, 01/12/2016 [^] [^^] [^^^] [ответить]	+/–
Опередил.

1.7, Shichael Migorin (?), 14:11, 01/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
В браузере Chrome, задействованы средства для аппаратного ускорения воспроизведения видео; Openmax что ли? То есть теперь можно YouTube в 720 p смотреть без тормозов?

2.23, Zenitur (ok), 16:09, 01/12/2016 [^] [^^] [^^^] [ответить]	+/–
> В браузере Chrome, задействованы средства для аппаратного ускорения воспроизведения видео; > Openmax что ли? То есть теперь можно YouTube в 720 p смотреть > без тормозов? Да, но может возникнуть проблема с флешками Class 4. Лаги раз в 20 секунд. С Class 10 такой проблемы нет. Наверное кэшируется.

3.30, Аноним (-), 16:53, 02/12/2016 [^] [^^] [^^^] [ответить]	+/–
А зачем ютуб на диск писать?

4.32, Zenitur (ok), 08:10, 03/12/2016 [^] [^^] [^^^] [ответить]	–1 +/–
Возможно что система тормозит сама по себе. Просто пока не смотришь видео, это не заметно. У меня просто RPi как роутер, поэтому я не стал ставить Class 10

2.27, олхнтп (?), 21:10, 01/12/2016 [^] [^^] [^^^] [ответить]	+/–
> Openmax что ли? MMAL

1.8, Аноним (-), 14:14, 01/12/2016 [ответить] [﹢﹢﹢] [ · · · ]

+/–

>В браузере Chrome, задействованы средства для аппаратного ускорения воспроизведения видео

огиринал
>Updates to hardware video acceleration in Chromium browser

Не, следят конечно оба, это да.

2.22, Zenitur (ok), 16:08, 01/12/2016 [^] [^^] [^^^] [ответить]	+/–
>>В браузере Chrome, задействованы средства для аппаратного ускорения воспроизведения видео > огиринал >>Updates to hardware video acceleration in Chromium browser > Не, следят конечно оба, это да. Просто про само добавление такой поддержки новости ещё не было. Кстати, выкрутите количество видеопамяти с 64 до 192, если хотите чтобы ускорялось.

1.14, H2O (??), 15:13, 01/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Где можно заказать себе Малину по дешевле?

2.15, Аноним (-), 15:23, 01/12/2016 [^] [^^] [^^^] [ответить]	+/–
https://ru.aliexpress.com/item/2016-NEW-Original-Raspberry-Pi-3-Model-B-Board-

3.25, Аноним (-), 17:53, 01/12/2016 [^] [^^] [^^^] [ответить]	+/–
на али можно и апельсинку и тот же распбиан поставить обязательно оригинальную малинку ?

4.26, ДяДя (?), 18:12, 01/12/2016 [^] [^^] [^^^] [ответить]

+1 +/–

Для дексктопа обязательно. И куча проектов есть, которые только PPi поддерживают.

Kodi: OpenElec, OSMC, XBean. Moonlight. RetroPie. OpenJDK: OpenJFX Project ...

2.21, Zenitur (ok), 16:07, 01/12/2016 [^] [^^] [^^^] [ответить]	+/–
> Где можно заказать себе Малину по дешевле? В магазине Электронщик на 1000 рублей дешевле, чем в DNS-е. В Новосибирске этот магазин есть. Я заказал оттуда с доставкой в Кемерово

1.20, Zenitur (ok), 16:04, 01/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Про Flash Player можно отдельную новость. А поддерживает OpenMAX? А OpenGL ES? Супер просто. На один шаг в сторону полноценного компа стало больше! Не хватает только скайпа. Вот бы ещё я своей RPi ещё бы пользовался как десктопом :-) Вопрос знатокам - как сделать переключение раскладок? Я сделал костыль: sh-файл на рабочий стол с setxkbmap. А значок в трее - xneur.

2.24, Аноним (-), 16:14, 01/12/2016 [^] [^^] [^^^] [ответить]	+/–
Скупой же вроде в вебе нормально работает. Я проверял только аудио и текст.

2.28, __ (?), 00:36, 02/12/2016 [^] [^^] [^^^] [ответить]	+/–
>как сделать переключение раскладок крутим raspi-config

1.33, Owlet (?), 19:55, 09/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Гхм, а почему бы в этот файл /boot/SSH сразу не класть login=password например?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: