5 mẹo bảo mật cho Raspberry Pi

Theo mặc định, Raspberry Pi đi kèm với mức độ bảo mật kém. Nếu bạn sử dụng Pi ở nhà hoặc trong một mạng nhỏ, đó không phải là vấn đề lớn.

Nhưng nếu bạn mở các cổng trên Internet, sử dụng nó làm điểm truy cập WiFi hoặc nếu bạn cài đặt Pi trong một mạng lớn hơn, bạn cần thực hiện các biện pháp bảo mật để bảo vệ Raspberry Pi của mình.

Bài viết sau đây sẽ chỉ cho bạn cách làm điều này.

1. Luôn cập nhật hệ thống

Điều đầu tiên này có thể rất hiển nhiên, nhưng vô cùng quan trọng. Với các bản cập nhật trong kho lưu trữ Raspbian, bạn không chỉ nhận được các tính năng mới nhất mà chủ yếu là những bản sửa lỗi bảo mật cho phần mềm đã cài đặt.

Hãy cố gắng cập nhật Raspberry Pi thường xuyên với:

sudo apt update
 sudo apt upgrade

Bạn cũng có thể tự động hóa quá trình này với gói nâng cấp không cần giám sát. Quy trình này cho phép bạn tự động cài đặt các bản sửa lỗi bảo mật mỗi ngày:

• Cài đặt gói nâng cấp không cần giám sát

sudo apt install unattended-upgrades

• Mở file cấu hình

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

• Thay đổi những gì bạn muốn trong file này

Theo mặc định, nó sẽ chỉ tải xuống các bản cập nhật bảo mật, nhưng bạn có thể thay đổi điều này, nếu bạn muốn cài đặt tất cả các bản cập nhật Debian hoặc thậm chí những kho lưu trữ khác

Ít nhất bạn nên ghi chú dòng này:

Unattended-Upgrade::Mail "root";

Thao tác này sẽ gửi mail tới root (hoặc bất kỳ địa chỉ nào khác nếu bạn đã cài đặt mail server).

• Lưu và thoát (CTRL + O, CTRL + X)
• Sau đó, bạn cần thiết lập nâng cấp định kỳ:
  • Mở file này:

sudo nano /etc/apt/apt.conf.d/02periodic

• • Dán các dòng này (file phải trống, nếu không, hãy thay đổi các giá trị):

APT::Periodic::Enable "1";
 APT::Periodic::Update-Package-Lists "1";
 APT::Periodic::Download-Upgradeable-Packages "1";
 APT::Periodic::Unattended-Upgrade "1";
 APT::Periodic::AutocleanInterval "1";
 APT::Periodic::Verbose "2";

Điều này sẽ cho phép cập nhật tự động hàng ngày. Bạn yêu cầu apt thực hiện: Cập nhật, tải xuống bản nâng cấp, cài đặt bản nâng cấp, tự động dọn dẹp hàng ngày.

Dòng cuối cùng là mức chi tiết mà bạn sẽ nhận được trong /var/log/unattended-upgradevà email (1 = low, 3 = max)

• • Lưu và thoát (CTRL + O, CTRL + X).
• Bạn có thể gỡ lỗi cấu hình của mình bằng lệnh này:

sudo unattended-upgrades -d

Đừng quên kiểm tra file nhật ký và/hoặc email nhận được để đảm bảo mọi thứ đang hoạt động như mong đợi

2. Không sử dụng đăng nhập tự động hoặc mật khẩu trống

Mật khẩu là một phần quan trọng của bảo mật hệ thống. Điều đầu tiên cần làm là hãy đảm bảo rằng tất cả các truy cập quan trọng đều yêu cầu mật khẩu.

Không sử dụng đăng nhập tự động và thêm bước đăng nhập cho từng ứng dụng mà bạn có thể truy cập trực tiếp

Bài viết sẽ không liệt kê tất cả các ứng dụng, nhưng ví dụ, nếu bạn có web server, hãy đảm bảo rằng dữ liệu cá nhân hoặc các trang quản trị không thể truy cập được nếu không có mật khẩu.

Đảm bảo rằng không ai sử dụng mật khẩu trống trên Raspberry Pi. Nếu bạn có ít tài khoản, thật dễ dàng, hãy kiểm tra tất cả quyền truy cập. Nếu bạn có nhiều tài khoản người dùng, các lệnh này có thể giúp bạn:

• Tìm kiếm mật khẩu trống

sudo awk -F: '($2 == "") {print}' /etc/shadow

Điều này sẽ chỉ hiển thị các tài khoản có mật khẩu trống.

• Khóa tài khoản không an toàn

passwd -l <username>

3. Thay đổi mật khẩu mặc định cho Pi

Một lỗi thường gặp là để nguyên mật khẩu mặc định cho người dùng pi (raspberry). Bất kỳ ai đã sử dụng Raspberry Pi đều biết mật khẩu này. Vì vậy, nhiều người đang quét các cổng SSH và cố gắng đăng nhập bằng pi/raspberry.

Thay đổi mật khẩu mặc định là điều đầu tiên cần làm khi cài đặt mới. Thực hiện điều này rất dễ dàng, đăng nhập bằng pi và nhập lệnh này:

passwd

Cố gắng sử dụng một câu có hơn 15 ký tự để an toàn trước các cuộc tấn công Brute-forcevà dễ ghi nhớ nó (ví dụ: iloveraspberrytips là một mật khẩu tốt, dễ nhớ).

4. Vô hiệu hóa người dùng pi

Tin tặc có một danh sách các thông tin đăng nhập thường được sử dụng và thường thử những thông tin đăng nhập này

Nếu có thể, hãy tạo người dùng mới và vô hiệu hóa người dùng pi để ngăn chặn loại tấn công Brute-force:

• Tạo người dùng mới:

sudo adduser <username>

• Cấp đặc quyền sudo nếu cần:

sudo adduser <username> sudo

Thao tác này sẽ thêm người dùng mới của bạn vào nhóm sudo.

• Kiểm tra xem mọi thứ có hoạt động bình thường không (truy cập ssh, sudo, v.v…)
• Sao chép file từ người dùng pi sang người dùng mới nếu cần

sudo cp /home/pi/Documents/* /home/<username>/Documents/
 ...

• Xóa người dùng pi

sudo deluser -remove-home pi

Nếu muốn, bạn có thể bắt đầu bằng cách khóa tài khoản (như đã nói trước đây) và xóa nó sau một vài tuần, khi bạn chắc chắn rằng mọi thứ đều ổn

5. Dừng các service không cần thiết

Trên Raspberry Pi, mọi người thực hiện rất nhiều dự án về mọi thứ và đó có thể là một thói quen xấu đối với bảo mật.

Giả sử, bạn đã cài đặt PHPMyAdmin 3 tháng trước để thử thứ gì đó, nhưng bạn hiện không sử dụng nữa

Điều này có thể tạo ra một lỗ hổng cho kẻ tấn công, cho phép hắn xâm nhập vào hệ thống của bạn. Vì vậy, hãy cố gắng dừng hoặc gỡ cài đặt các service và ứng dụng không cần thiết.

• Để ngừng sử dụng service:

sudo service <service-name> stop

• Nếu nó tự động khởi động khi boot, hãy thử:

sudo update-rc.d <service-name> remove

• Hoặc để gỡ cài đặt nó, hãy dùng lệnh sau:

sudo apt remove <service-name>