lundi 18 novembre 2013

Le minimum vital pour sécuriser son Raspberry Pi

Les premières précautions se prennent directement via le menu de configuration sudo raspi-config On change son mot de passe si on ne l'a pas déjà fait.

On s'assure de désactiver le boot en mode desktop puisqu'on ne va pas utiliser l'interface graphique (option "enable boot to deskop").

Et comme on vient de désactiver la GUI on peut réduire la part de RAM utilisée par le GPU à 16Mo (option "memory split").

On s'assure d'être à jour niveau source sudo apt-get update
sudo apt-get upgrade
Ensuite on va se débarrasser du compte utilisateur par défaut (pi). On peut pour cela en créer un autre avec les mêmes groupes puis supprimer ou le désactiver le compte pi. J'ai préféré cependant récupérer le compte existant en le renommant. Pour cela on va devoir se loguer en root mais la connexion par ce compte est désactivée par défaut (cf le signe * à la place du hash du mot de passe dans /etc/shadow). root:*:15973:0:99999:7::: On va donc créer un login root par la commande suivante: sudo passwd root Qui ajoute le hash du mot de passe dans le fichier /etc/shadow root:$6$4SHHg7....kjIIHGYTL/:16027:0:99999:7::: Maintenant qu'on a un autre compte que le compte pi on peut se déconnecter et se reconnecter en tant que root. Puis on renomme le compte pi: usermod -l phi pi Et on transfère le compte home associé ainsi que son contenu usermod -m -d /home/phi phi Par précaution on re-désactive le login en compte root par: sudo passwd -l root Notez le point d'exclamation ajouté au début du hash et qui le rend donc inopérant: root:!$6$4SHHg7....kjIIHGYTL/:16027:0:99999:7::: Pour finir on va désactiver la possibilité de se connecter en root par ssh en éditant /et/ssh/sshd_config: PermitRootLogin no
Puis: /etc/init.d/ssh restart
Ne pas oublier de faire une sauvegarde régulière du contenu de sa carte SD: fdisk -l (sous linux)
diskutil list (sous OSX)
puis:
sudo dd if=/dev/rdisk1 bs=1m | gzip > backup.gz (sous osx disk1 donne rdisk1)
que l'on pourra restaurer comme ceci gzip -dc /path/to/backup.gz | sudo dd of=/dev/rdisk1 bs=1m

Aucun commentaire:

Enregistrer un commentaire